Curso Oficial Do Mikrotik

7/21/2019 Curso Oficial Do Mikrotik

http://slidepdf.com/reader/full/curso-oficial-do-mikrotik 1/542

MikrotikBrasil

1

onsu or a e re namen osIntegração de Equipamentos



Um pouco sobre a MD Brasil Telecom

(MikrotikBrasil)

No mercado de Internet discada desde 1995

2

Primeiros links Wireless de 2mbps entre 4 cidades do Interior Paulista em 2000 Ministra treinamentos em Wireless desde 2002

Presta serviços de consultoria em Wireless para provedores e empresas

Representante da Mikrotik – Latvia desde 2006 representando os sistemas Distribuidor Oficial de Hardware Mikrotik desde janeiro de 2007

Training Partner Mikrotik desde julho de 2007



Mikrotik RouterOS

uma pequena história de grande sucesso

1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia) ’

3

1996: Publicado na Internet o paper “Wireless Internet Access in Latvia” 1996: Incorporada e Fundada a empresa MikroTikls 2002: Desenvolvimento de Hardware próprio 2007: 60 funcionários

Atualmente:O RouterOS da Mikrotik tende a ser um padrão de fato para provedores de serviço internet

podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.



O que é o Mikrotik RouterOS ?

Um poderoso sistema operacional “carrier class” que pode ser instalado em um PCcomum ou placa SBC (Single Board Computer), podendo desempenhar as funções de:

Roteador Dedicado

4

Bridge Firewall Controlador de Banda e QoS Ponto de Acesso Wireless modo 802.11 e proprietário Concentrador PPPoE, PPtP, IPSeC, L2TP, etc

Roteador de Borda Servidor Dial-in e Dial-out Hotspot e gerenciador de usuáriosWEB Proxy Recursos de Bonding, VRRP, etc, etc.



Instalação do Mikrotik

O Mikrotik RouterOS ode ser instalado utilizando:

5

CD Iso bootável ( gravado como imagem ) Via rede com o utilitário Netinstall



Obtendo o RouterOShttp://www.mikrotik.com/download.html

6

Imagem ISO – para instalação com CD

Changelog – Modificações versões



Instalando por CDUma vêz baixado o pacote e descompactado, precisamos gerar o CD de boot

No exemplo abaixo usamos o Nero para gravar o CD

7



Instalando por CD

Seleciona-se a imagem .iso descompacatada e clica-se em Burn

8



Instalando por CDPrepare o PC para bootar pelo CD. Após o boot será apresentada a seguinte tela:

9



Pacotes do RouterOS - significado

System: Pacote principal com serviços básicos e drivers. A rigor é o únicoque necessáramente tem de ser instalado.

ppp: Suporte aos serviços PPP como PPPoE, L2TP, PPtP, etcDHCP: DHCP cliente e DHCP servidor

advanced-tools: ferramentas de diagnóstico, netwatch e outros utilitários

10

arlan: Suporte a um tipo de placa Aironet antiga – arlancalea: Pacote para vigilancia de conexões (exigencia legal nos EUA)

gps: Suporte a GPS (tempo e posição)

hotspot: Suporte a hotspotsISDN: Suporte a conexões ISDN

lcd: Suporte a display de cristal líquido

ntp: Servidor e cliente de NTP (relógio)



Pacotes do RouterOS - significadoradiolan: suporte a placa Radiolan

routerboard: utilitários para routerboard’s

routing: suporte a roteamento dinamico – protocolos RIP, OSPF e BGPrstp-bridge-test protocolo rstp

security: suporte a ssh, Ipsec e conexão segura do winbox

11

synchronous: suporte a placas síncronas Moxa, Cyclades PC300 e outrastelephony: pacote de suporte a telefonia – protocolo h.323

ups: suporte a no-breaks APC

user-manager: serviço de autenticação user-manager web-proxy: Serviço de Web-Proxy

wireless: Suporte a placas PrismII e Atheros

wireless-legacy: Suporte a placas PrismII, Atheros e Aironet com algumas featuresinabilitadas



Instalando por CDPode-se seleccionar os pacotes desejados pressionando-se a barra de espaços

ou “a” para todos. Em seguida “i” irá instalar os pacotes selecionados.

Caso haja configurações pode-se mante-las selecionando-se “y”

12



Instalação com NetinstallO Netinstall tranforma uma estação de trabalhoWindows em um instalador.

Obtem-se o programa no linkwww.mikrotik.com/download.html

Pode-se instalar em um um PC ue boota via

13

rede (configurar na BIOS)

Pode-se instalar em uma Routerboard,configurando-a para bootar via rede

O Netinstall é interessante principalmente parareinstalar em routerboards quando necessário pordanos a instalação inicial e quando se perde asenha do equipamento.



Instalação com NetinstallPara se instalar em uma Routerboard, inicialmentetemos que entrar via serial, com um cabo nullmodem e os parametros:

velocidade: 115.200 bpsbits de dados: 8bits de parada: 1Controle de fluxo: hardware

Entra-se na Routerboard eseleciona-se

14

o - boot devicee depois:

e - Etherboot



Instalação com Netinstall

Atribuir um IP para o NetBooting na mesma faixa daplaca de rede da máquina.

15

Colocar os pacotes aserem instalados namáquina.

Bootar e selecionar ospacotes a serem instalados.



Acesso ao Mikrotik

O processo de instalação não configura um IP no Mikrotik e o primeiro acesso podeser feito das seguintes maneiras:

16

Direto na console (no caso de PC’s)

Via Terminal (115200/8/N/1 para routerboards e 9600/8/N/1 para PC’s)

Via Telnet de MAC, através de outro Mikrotik ou de sistema que suporte telnet por

MAC e que esteja no mesmo barramento físico de rede.

Via Winbox



Console do Mikrotik

Na console do Mikrotik tem-se acesso a todas as configurações por um sistema de

diretórios hierárquicos pelos quais se pode navegar digitando o caminho.

Exemplo:[admin@MikroTik] > ip

17

[admin@MikroTik] ip> address

Pode-se voltar um nível de diretório digitando-se ..[admin@MikroTik] ip address> ..[admin@MikroTik] ip>

Pode-se ir direto ao diretório raiz, digitando-se /[admin@MikroTik] ip address> /[admin@MikroTik] >



Ajuda

? Mostra um help para o diretório em que se esteja – [Mikrotik] > ?

? Após um comando incompleto mostra as opções disponíveis para essecomando - [Mikrotik] > interface ?

Console do Mikrotik

18

Tecla TAB

Comandos não precisam ser totalmente digitados, podendo ser completadoscom a tecla TAB

Havendo mais de uma opção para o já digitado, pressionar TAB 2 vezesmostra todas as opções disponíveis.



Print: mostra informações de configuração

[admin@MikroTik] interface ethernet> printFlags: X - disabled, R - running# NAME MTU MAC-ADDRESS ARP0 R ether1 1500 00:03:FF:9F:5F:FD enabled

Console do Mikrotik

19

Pode ser usado com diversos argumentos como print status, print detail e printinterval. Exemplo:

[admin@MikroTik] interface ethernet> print detail

Flags: X - disabled, R - running0 R name="ether1" mtu=1500 mac-address=00:03:FF:9F:5F:FD arp=enableddisable-running-check=yes auto-negotiation=yes full-duplex=yes cable-settings=default speed=100Mbps



Comando Monitor

Mostra continuamente várias informações de interfaces

[admin@Escritorio] > interface ethernet monitor ether1

Console do Mikrotik

20

status: link-okauto-negotiation: done

rate: 100Mbps

full-duplex: yes

default-cable-setting: standard



Comandos para manipular regras add, set, remove adiciona, muda ou remove regras

disabled desabilita a regra sem deletar move move algumas regras cuja ordem influencie( firewall porexemplo )

Console do Mikrotik

21

Comando export exporta todas as configurações do diretório corrente acima ( seestiver em /, do roteador todo)pode ser copiado com o botão direito do mouse e colado em editor detextos

pode ser exportado para um arquivo com export file=nome do arquivo

Comando import importa um arquivo de configurações criado pelo comando export.



WinboxObtem-se o Winbox na URL abaixo

ou direto em um mikrotik

www.mikrotik.com/download.html

22

Interface Gráfica para administração do Mikrotik Funciona em Windows e Linux ( Wine ) Utiliza porta TCP 8291Se escolhido Secure mode a comunicação é criptografada Quase todas as funcionalidades do terminal podem ser configuradas via WINBOX



WinboxCom o Winbox é possível acessar um Mikrotik sem IP, através do seu MAC. Para

tanto popnha os dois no mesmo barramento de rede e clique nas reticências

23

O acesso pelo MAC pode ser feito para fazer as configurações iniciais, como dar umendereço IP para o Mikrotik.

Após ter configurado um IP e uma máscara de rede. aconselha-se preferencialmente

o acesso via IP que é mais estável.

Clique para encontrar o Mikrotik



Configuração no modo seguroPressionando-se control+X em um terminal pode-se operar o Mikrotik com a

possibilidade de desfazer as configuracoes sem que elas sejam aplicadas.

24

Operando no modo seguro



Configuração no modo seguro Se outro usuário entra no modo seguro, quando já há um nesse modo, lheserá dada a seguinte mensagem:

[admin@MKBR100] >

Hijacking Safe Mode from someone – unroll / release / don’t take it [u/r/d]

25

u desfaz todas as configurações anteriores feitas no modo seguro e põea presente sessão em modo seguro

d deixa tudo como está

r mantém as configurações realizadas no modo seguro e põe a sessão

em modo seguro. O outro usuário recebe a mensagem:[admin@MKBR100]

Safe mode released by another user



Configuração no modo seguro Todas as configurações são desfeitas caso o modo seguro seja terminadode forma anormal.

Control+X novamente ativa as configurações

Control+D desfaz todas as configurações realizadas no modo seguro.

“ ”

26

,

até que sejam aplicadas. O histórico das alterações pode ser visto (não só no modo seguro) em/system history print

Importante: O número de registros de histórico é limitado a 100. As

modificações feitas no modo seguro que extrapolem esse limite não sãodesfeitas nem por Control+D nem pelo término anormal do modo seguro.



Manutenção do Mikrotik

Atualização

27

ac ups

Acréscimo de funcionalidades

Detalhes do licenciamento



Manutenção do MikrotikAtualizações

As atualizações podem ser

feitas com o conjunto de pacotescombinados ou com os pacotesseparados disponíveis no site daMikrotik.

28

Os arquivos tem a extensão.npk e basta coloca-los nodiretório raiz do Mikrotik e boota-lo para subir a nova versão.

O upload pode ser feito porFTP ou copiando e colando noWInbox.



Manutenção do Mikrotikacréscimo de novas funcionalidades

Alguns pacotes não fazem parte

da distribuição normal mas podemser instalados posteriormente.Exemplo o pacote User Manager..

Os arquivos também tem a

29

ex ens o .np e as a co oca- os no

diretório raiz do Mikrotik e boota-lopara subir a nova versão.

O upload pode ser feito por FTPou copiando e colando no WInbox.



Alguns pacotes podem não ter sido instalados no momento da instalação ou podem estar

desabilitados. Pacotes podem ser habilitados/desabilitados de acordo com as necessidades.

Manutenção do MikrotikManipulação de pacotes

verifica-se e manipula-se o estado dos

pacotes em / system packages

30

Pacote desabilitado

Se o pacote não tiver sido instalado, parafaze-lo devemos encontrar o pacote de mesma

versão, fazer um upload para o Mikrotik que

este será automaticamente instalado



Existem os pacotes estáveis e os pacotes “test”, que estão ainda sendo reescritos e

podem estar sujeitos a bugs e carencia de documentação.

Quando existem 2 iguais e um é test deve-se escolher um deles para trabalhar.

Manutenção do MikrotikManipulação de pacotes

31

web-proxy e

web-proxy-test



Para efetuar o Backup, basta ir emFiles e clicar em Backup copiandoo arquivo para um lugar seguro.

Manutenção do MikrotikBackup

32

Para restaurar, basta colar onde sequer restaurar e clicar na teclaRestore

OBS: O Backup feito dessa forma ao ser restaurado em outro hardware terá problemas com

diferentes endereços MAC. Para “backupear” partes das configurações use o comando export



Versão 2.9 ou versão 3.x ??

Atualmente estamos no final da série 2.9.x e partindo para a v3, que estáem fase de “release candidate”

Diferenças básicas das versões :

33

. . . .

3.x Linux Kernel 2.6.20

Compatibilidade de Hardware na v3:

Suporte a SMP (multiprocessamento)Suporte a discos SATA RAM máxima aumentada de 1 GB para 2 GBVárias interfaces de rede novas suportadasDescontinuados alguns suportes e hardwares antigos



Licenciamento do Mikrotik

Detalhes de licenciamento

A chave é gerada sobre um software-id fornecido pelo próprio sistema Fica vinculada ao HD ou Flash

34

A licença pode ser “colada” na janela de terminal ou enviada por ftp Esse HD / Flash pode ser montado em qualquer outro computadoraproveitando a licença Importante: a formatação com ferramentas de terceiros faz perder alicença instalada



Política deLicenciamento

As Licenças nunca expiram

35

a última versão do próximo release.

ex: 2.9.x 3beta 3.x

Podem ser usadas várias interfaces

Uma licença por máquina



Dúvidas e esclarecimentos adicionais sobre

36

Instalação ? Acesso ?

Manutenção ?

Licenciamento ?



O Modelo OSI(Open Systems Interconnection)

Camadas 5, 6 e 7 (sessão, apresentação e aplicação)APRESENTAÇÃO

APLICAÇÃO

38

Camada 1 (conexões físicas da rede, como cabos, wireless)

Camada 2 (detecta/corrige erros, controla fluxo, end.. físico)

Camada 3 (faz endereçamento lógico – roteamento IP

Camada 4 (garante o transporte dos dados – TCP e UDP )

REDE

ENLACE

FÍSICA

TRANSPORTE

SESSÃO



Camada I - Física

A camada física define as características técnicas dos dispositivos elétricos .que fazem parte da rede

É nesse nível que estão definidas as especificações de cabeamento

39

es ru ura o, ras cas, e c. o caso e re ess, na cama a que se

definem as modulações assim como a frequencia e largura de banda dasportadoras

São especificações de Camada I:

RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T,100BASE-TX , ISDN, SONET , DSL,FHSS, DSSS, OFDM etc



Camada I - Física

Exemplo de configuração da camadafísica:

40

Escolhe-se a banda de transmissão ea forma com que o rádio irá secomportar



Exemplo de configuração físicada Interface Wireless

No lado do AP

1 Configurar o AP, definindo banda, canal, modo de operação enome de rede

41

No lado dos alunos:

1 Configurar como station, com o mesmo nome de rede ebanda

2

Na aba Wireless, no campo Radio name, colocar o seunúmero e nome, no seguinte padrão:XY-SeuNome



Camada II - Enlace

Camada responsável pelo endereçamento físico, controle de acesso ao meioe correção de erros da camada I

O endereçamento físico se faz pelos endereços MAC (Controle de acesso ao

42

dispositivos de rede

Bridges são exemplos de dispositivos que trabalham na camada II.

São especificações de Camada II:Ethernet, Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM



Camada II - Enlace

Exemplo de configuração de Camada II (Enlace)

43

No AP Central: criar uma Bridge entre as interfaces Wireless



Camada III - Rede

Responsável pelo endereçamento lógico dos pacotes Transforma endereços lógicos em endereços físicos de rede

44

tais como condições de tráfego de rede e prioridades. Define como os dispositivos de rede se descobrem e como os pacotes são roteados aodestino final..

Estão na Camada III:IP, ICMP, IPsec, ARP, RIP, OSPF, BGP



Protocolo IP

É um protocolo cujas funções principais são:

45

endereçamento roteamento

As principais funções do protocolo IP são endereçamento e roteamento pois estefornece de uma maneira simples a possibilidade de identificar uma máquina narede (endereço IP) e uma maneira de encontrar um caminho entre a origem e odestino (Roteamento).



Endereçamento IP

O Protocolo TCP/IP utiliza 4 sequencias de 8 bits (octetos) para representaçãodos endereços IP:

Exemplo :

46

. . . , em no aç o n r a,

convertida para decimal fica:

11000000 2^7+2^6 = 128+64 = 19210101000 2^7+2^5+2^3 = 128+32+8 = 168

00000001 2^0 = 100000001 2^0 = 1

192.168.1.1



Máscaras de rede

Computadores em uma rede TCP/IP fazem uso das máscaras de rede para separarcomputadores em sub-redes. As máscaras de rede são tambem 4 octetos bináriosComo abaixo representado:

47

. . .

11111111 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 = 255

máscara equivalente em decimal:

255.255.255.0



Máscaras de redeAlém da forma binária e decimal as máscaras de rede podem ser representadas pelanotação em bitmask (soma dos bits que compõe a máscara);

Exemplos:

48

. . .

decimal : 255.255.255.255

bitmask: /32

11111111.11111111.11111111.11111100 decimal: 255.255.255.252 bitmask: /30

11111111.00000000.00000000.0000000 decimal: 255.0.0.0 bitmask: /8



Endereçamento de redePara separar computadores em sub redes é realizada uma multiplicação binária doendereço IP com a máscara de rede, sendo então calculado o endereço de rede para

aquele host.

Exemplo: 200.200.200.10 com máscara 255.255.255.192 (ou /26)

49

Decimal 1 octeto 2 octeto 3 octeto 4 octetoIP 200.200.200.10 11001000 11001000 11001000 00001010

Mask 255.255.255.192 11111111 11111111 11111111 11000000

Multiplicação binária 11001000 11001000 11001000 00000000

Endereço de rede calculado 200.200.200.0



200.200.200.10/26 200.200.200.20/26

Decimal 1 octeto 2 octeto 3 octeto 4 octeto

IP 200.200.200.10 11001000 11001000 11001000 00001010

Mask 255.255.255.192 11111111 11111111 11111111 11000000

Endereçamento de rede

50

u p caç o n r a


IP 200.200.200.20 11001000 11001000 11001000 00010100

Mask 255.255.255.192 11111111 11111111 11111111 11000000Multiplicação binária 11001000 11001000 11001000 00000000

Resultados iguais Mesma Rede = 200.200.200.0



200.200.200.10/26 200.200.200.200/26


IP 200.200.200.10 11001000 11001000 11001000 00001010Mask 255.255.255.192 11111111 11111111 11111111 1100000

Endereçamento de rede

51


IP 200.200.200.200 11001000 11001000 11001000 11001000

Mask 255.255.255.192 11111111 11111111 11111111 11000000Multiplicação binária 11001000 11001000 11001000 11000000

Resultados diferentes Redes diferentes = 200.200.200.0 e 200.200.200.192



Endereços IP no Mikrotik

52

Atentar para a especificação correta da máscara de rede que determinará oendereço de rede e o de broadcast



Configuração de RedeNo AP Central:

1 Cadastrar o IP 192.168.100.254 com máscara 255.255.255.0 na wlan1

Nos alunos:

53

1

Cadastrar um IP 192.168.100.XY com máscara 255.255.255.0 wlan1 doMikrotik

2Como ficou sua tabela de rotas ?



Protocolo ARP(Address resolution Protocol)

Utilizado para associar IP’s com endereços físicos – faz a interface entre a camada II

e a camada III.

Funcionamento:

54

O solicitante de ARP manda um pacote de broadcast com a informação do IP dedestino, IP de origem e seu MAC, perguntando sobre o MAC de destino

O Host que tem o IP de destino manda um pacote de retorno fornecendo seuMAC

Para minimizar os broadcasts devido ao ARP, são mantidas no SO, as tabelasARP, constando o par IP – MAC



Protocolo ARP(Address resolution Protocol)

Observe a tabela ARP do AP

55

Consulte sua Tabela ARP

Torne a entrada do AP em uma entrada estática, clicando com o botãodireito e “Make Static”



RoteamentoNo AP Central:

1 Cadastrar a rota default no AP Central.

Nos alunos:

56

1

Cadastrar a rota default2 Como ficou sua tabela de rotas ?



Cenário inicial do Curso

57



Configuração de DNSNo AP Central:

1 Configure o DNS apontando-o para o DNS da operadora

Nos alunos:

58

1

Configure o DNS apontando para o AP Central2 Teste a resolução de nomes a partir do seu mikrotik



Camada IV - Transporte

No lado do remetente é responsável por pegar os dados das camadassuperiores dividir em pacotes para que sejam transmitidos para a camada derede.

59

,

remonta os dados originais e envia às camadas superiores.

Estão na Camada IV:

TCP, UDP, RTP, SCTP



Protocolo TCP

O TCP é um protocolo de transporte e executa

60

importantes funções para garantir que os dados sejamentregues de uma maneira confiável, ou seja, sem que osdados sejam corrompidos ou alterados.



Características do protocolo TCP

Garante a entrega de datagramas IP

Executa a segmentação e reagrupamento de grandes blocos de dados enviadospelos programas e Garante o seqüenciamento adequado e entrega ordenada dedados segmentados.

61

Verifica a integridade dos dados transmitidos usando cálculos de soma deverificação

Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados.Ao usar confirmações seletivas, também são enviadas confirmações negativas para

os dados que não foram recebidos Oferece um método preferencial de transporte de programas que devem usartransmissão confiável de dados baseada em sessões, como bancos de dadoscliente/servidor e programas de correio eletrônico



TCP

62

Os segmentos TCP são encapsulados eenviados em datagramas IP



Portas TCP

63

O uso do conceito de portas, permite que vários programas estejam emfuncionamento, ao mesmo tempo, no mesmo computador, trocandoinformações com um ou mais serviços/servidores.

Portas abaixo de 1024 são registradas para serviços especiais



Estabelecimento de uma conexão TCP

Uma conexão TCP é estabelecida em um processo de 3 fases: O “Cliente” a conexão manda uma requisição SYN contendo o

número da porta que pretende utilizar e um número de sequencia inicial. O “Servidor” responde com um ACK com o número sequencial

enviado +1 e um pacote SYN com um outro número de sequencia

64

O “Cliente” responde com um ACK com o numero recebido doSYN +1

Cliente Servidor

SYN (100)

ACK (101), SYN (400)

ACK (401)



Enviando dados com TCP

O TCP divide o fluxo de dados em segmentos o remetente manda dados em segmentos com um

número sequencial

Data 1

65

o es na r o acusa o rece men o e ca a

segmento o remetente manda os dados seguintes se não recebe a confirmação do recebimento,

manda novamente

No caso da conexão ser abortada uma flag RST émandada ao remetente

R e m e t e n t e

D e

s t i n a t á r i o

Data 2

Data 2

ACK

NO ACK



Encerrando uma conexão TCP

O processo de encerramento também é feito em 4 fases:

- Remetente manda um pedido de FIN- Destinatário responde acusando o recebimento com um ACK

66

- es na r o man a seu pe o e

- Remetente envia um ACK

Cliente Servidor

FIN

ACK

ACK

FIN



Protocolo UDP

- O UDP (User Datagram Protocol) é utilizado para o transporte rápido

entre hosts- O UDP é um serviço de rede sem conexão, ou seja não garante aentrega do pacote

67

- ensagens s o encapsu a as em a agramas



Comparação TCP e UDP

UDP TCP

Serviço sem conexão. Não é estabelecidasessão entre os hosts

Serviço orientado por conexão. Umasessão é estabelecida entre os hosts.

68

UDP não garante ou confirma a entregados dados Garante a entrega através do uso deconfirmação e entrega sequenciada dosdados

Os programas que usam UDP são

responsáveis pela confiabilidade

Os programas que usam TCP tem

garantia de transporte confiável de dadosRápido, exige poucos recursos oferececomunicação ponto a ponto e pontomultiponto

Mais lento, usa mais recursos e somentedá suporte a ponto a ponto



Observe o estado de suas conexões em IP / Firewall / Connections

69



Fazendo uma conexao TCPNos alunos:

1 Abrir uma sessão de FTP para o IP do nosso servidor de FTP

2 Verifique a sua tabela de Connection Tracking

70

No AP Central:

1 Exibir a tabela de Connection Tracking



Dúvidas ou considerações acerca de:

Camadas física / enlace / rede / transporte / aplicação

71

Protocolo ARP ? TCP ?

UDP ?



Setup I - Configuração da sala em modo roteado

1 Certifique-se do funcionamento da conexão física do seu Mikrotik ao APdo Curso pela Wireless, assim como os IP’s configurados anteriormente.

2 Configure seu Laptop com o IP 10.10.XY.2/24, gateway 10.10.XY.1 e DNS10.10.XY.1

72

3 Configure o DNS do seu Mikrotik apontando para 192.168.100.254 não

esquecendo de marcar allow remote requests

4 teste as conectividades:Laptop seu Mikrotik

seu Mikrotik

AP CentralLaptop AP Central5 O que precisa ser feito para funcionar tudo ?



Setup II - Configuração da sala com NAT

Configure o mascaramento de rede

Teste a conectividade com o mundo exterior.

73

configurações

Salve os backups tambem no seu Laptop. Elas serão úteis durante o curso.



Mikrotik

74

Wireless



Confi ura ões da camada Física

75

Bandas de operação



Configurações Físicas / Banda

Resumo dos padrões IEEE empregados e suas características:

Padrão IEEE Freqüência Tecnologia Velocidades

802.11b 2.4 Ghz DSSS 1, 2, 5.5 e 11mbps

76

802.11g 2.4 Ghz OFDM 6, 9, 12, 18, 24, 3648 e 54 mbps

`802.11a 5 Ghz OFDM 6, 9, 12, 18, 24, 3648 e 54 mbps

OBS: Padrão 802.11n ainda em fase “draft”- previsão para ser ratificado até o final de 2008



Canais em 2.4Ghz

2412 2437 2462

22 Mhz



Canais não interferentes em 2.4Ghz

2412 2437 2462




2.4Ghz-B: Modo 802.11b, que permite velocidades nominais de 1, 2, 5.5 e 11 mbps. Utilizaespalhamento espectral em seqüência direta.

2.4Ghz-B/G: Modo misto 802.11b e 802.11g que permite as velocidades acima 802.11b e 6,9, 12, 18, 24, 36, 48 e 54 mbps quando em G. Utiliza OFDM em 802.11g

2.4Ghz-only-G: Modo apenas 802.11g.



Canais do espectro de 5Ghz

20 Mhz

Faixa Baixa: 5150 a 5250 e 5250 a 5350 (Mhz) Faixa Média: 5470 a 5725 (Mhz)

Faixa Alta: 5725 a 5850 (Mhz)

Em termos regulatórios a faixa de 5 Ghz é dividida em 3 faixas:



Aspectos Legais do espectro de 5Ghz

Faixa Baixa Faixa Média Faixa Alta

Fre üências 5150-5250 5250-5350 5470-5725 5725-5850

Largura 100 Mhz 100 Mhz 255 Mhz 125 Mhz

canais 4 canais 4 canais 11 canais 5 canais

Detecção de radarobrigatória

Detecção de radarobrigatória




82

5Ghz: Modo 802.11a – opera na faixa de 5 Ghz, baixa média e alta e permite velocidadesnominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps

Freqüência (Mhz) 5150 – 5350 5470 - 5725 5725 - 5850

Largura faixa 200 Mhz 255 Mhz 125 Mhz

Número de canais 4 11 5



Canalização em 802.11aModo Turbo

83

Maior troughput

Menor número de canais

Maior vulnerabilidade a interferências

Requerida sensibilidade maior

Diminui nível de potencia de Tx




84

5Ghz-turbo: Modo 802.11a – opera na faixa de 5 Ghz, baixa média e alta e permitevelocidades nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps

Freqüência (Mhz) 5150 – 5350 5470 - 5725 5725 - 5850

Largura faixa 200 Mhz 255 Mhz 125 Mhz

Número de canais 2 5 2



Canalização em 802.11aModos 10 e 5 Mhz

85

Menor troughput

Maior número de canais

Menor vulnerabilidade a interferências

Requerida menor sensibilidade

Aumenta nível de potencia de Tx



Faixa de 900 MhzNo Brasil, de acordo com a resolução 506/2008, é possível a utilização da faixa de 900 Mhzsem licença. Esta faixa de freqüências tem sido empregada para aplicações com visadaparcial ou até sem visada. No entanto seu emprego deve ser cuidadoso para atender alegislação..

Freqüência (Mhz) 902 – 907.5 915 - 928

Lar ura faixa 5.5 Mhz 13 Mhz

Faixas permitidas

conf resol 506:

86

Na V3:Canais que o fabricante garante o funcionamento:Canal 3 -> 922 Mhz (10Mhz, 5Mhz)Canal 4 -> 917 Mhz (20Mhz, 10Mhz, 5 Mhz)Canal 5 -> 912 Mhz (20Mhz, 10Mhz, 5 Mhz)Canal 6 -> 907 Mhz (10Mhz, 5Mhz)

Variações possíveis no Brasil:

Canal 3 -> 922 Mhz (10Mhz, 5Mhz)Canal 4 -> 917 Mhz (10Mhz, 5 Mhz)

Recorte de tela efetuado: 8/6/2008, 9:06 PM



Confi ura ões da camada Física

87

Potências




Configurações da camada Física - Potências

88

default: não interfere na potencia original do cartão

card rates: fixa mas respeita as variações das taxas para diferentes velocidades

all rates fixed: fixa em um valor para todas velocidades

manual: permite ajustar potencias diferentes para cada velocidade




Configurações da camada Física - Potências

89

Quando a opção “regulatory domain” está sendo utilizada, somente as frequencias

permitidas no país selecionado em “Country” estarão disponíveis. Alem disso o Mikrotik

Ajustará a potencia do rádio para atender a regulamentação do país, levando em conta

o valor em dBi informado no campo “Antenna Gain”

OBS: Até a versão 3.11 tal ajuste não era feito corretamente para o Brasil.




Configurações da camada Física

seleção de antenas

90

Antenas é possível uma ou outra.Antena a: utiliza a antena a (main) para tx e rx

Antena b: utiliza a antena b (aux) para tx e rx

rx-a/tx/b: recepção em a e transmissão em b

tx-a/rx-b: transmissão em a e recepção em b





seleção de antenas

91

Antenas é possível uma ou outra.Antena a: utiliza a antena a (main) para tx e rx

Antena b: utiliza a antena b (aux) para tx e rx

rx-a/tx/b: recepção em a e transmissão em b

tx-a/rx-b: transmissão em a e recepção em b





DFS

92

canal em que for encontrado o menor número de

redesradar detect: escaneia o meio e espera 1minuto para entrar em operação no canalescolhido se não for detectada a ocupaçãonesse canal.

O modo DFS (Seleção Dinâmica de Frequência)é obrigatório para o Brasil nas faixas de 5250-5350 e 5350-5725




Configurações da camada FísicaProp. Extensions e WMM support

Proprietary Extensions: Opção com a únicafinalidade de dar compatibilidade ao Mikrotik

93

com chipsets Centrino (post-2.9.25)

WMM support: QoS no meio físico (802.11e)

enabled: permite que o outro dispositivouse wmm

required: requer que o outro dispositiouse wmm




Configurações da camada FísicaAP e Client Tx Rate / Compression

Default AP Tx Rate: Taxa máxima em bpsque o AP pode transmitir para cada um de seus

94

.

Default Client Tx Rate: Taxa máxima em bpsque o Cliente pode transmitir ao AP. Só funcionapara clientes Mikrotik.

Compression: Recurso de compressão emHardware disponível no Chipset Atheros.

Melhora desempenho se o cliente possuir esserecurso. Não afeta clientes que não possuam.

(Recurso incompatível com criptografia)





Configurações da camada FísicaData Rates

A velocidade em uma rede Wireless é definidapela modulação que os dispositivos conseguemtrabalhar.Supported Rates: São as velocidades de

’

95

.

Basic Rates: São as velocidades que osdispositivos se comunicam independentementedo tráfego de dados em si (beacons, mensagensde sincronismo, etc)

Embora o próprio manual do Mikrotik aconselhe

deixar as velocidades em seu default, melhoresperformances são conseguidas evitandotrabalhar em baixas velocidades





Configurações da camada FísicaAck Timeout

A B

Dados

Ack

96

O Ack Timeout é o tempo que um dispositivo Wireless espera pelo pacotede Ack que deve ser enviado para confirmar toda transmissão Wireless.

dynamic : O Mikrotik calcula dinamicamente o Ack de cada clientemandando de tempos em tempos sucessivos pacotes com Ack timeoutsdiferentes e analisando as respostas.

indoors: valor constante para redes indoor.

pode ser fixado manualmente digitando-se no campo.





Configurações da camada FísicaValores referenciais para Ack Timeout

97OBS: Valores orientativos. Valores ideais podem estar em uma faixa de +- 15 microsegundos





Configurações da camada Física(Advanced)

Max Station Count: Número máximo de clientes

Wireless que podem se conectar a uma interface da AP.Noise Floor Threshold : Limiar do piso de ruído doambiente (em dBm). Se não informado, utiliza o valor

98

o pe o car o.

Periodic Calibration: O Mikrotik efetua calibraçõesperiódicas no chipset para garantir a correta leitura dedados como níveis de sinal e ruído.

Patente Atheros: ver documento anexoMikrotikBrasil_Wireless_01.pdf

Calibration Interval: Intevalo de tempo em queessas calibrações são repetidas...


(Advanced)




(Advanced)Hardware Retries: Número de tentativas decomunicação para um dispositivo, até que acomunicação seja considerada falha. Na falha a

velocidade deve ser decrescida. Se não houvervelocidade mais baixa, 3 falhas seqüenciais ativamuma pausa nesse mecanismo pelo valor em

“ ”

99

- - -

On Fail Retry Time: Tempo após o qual é repetida acomunicação com um dispositivo para o qual atransmissão tenha falhado na velocidade mais baixasuportada.

Disconnect Timeout: Tempo em segundos, a partir

da terceira falha no envio (3 x (hw-retries + 1)) navelocidade mais baixa (ou seja a partir da primeira vêzque o ‘on-fail-retry-time foi ativado) em que o cliente édesconectado (aparece nos logs como “extensive dataloss”


(Advanced)




(Advanced)Burst Time: Tempo em microsegundos que o cartãopode transmitir continuamente. Nenhum outro disositivoconseguirá transmitir durante esse tempo. O suporte a

essa funcionnalidade pode ser visto na variável burst-support em /interface wireless info print.

Frame Lifetime: Tem o de vida de um acote em

100

centisegundos contado a partir do início da tentativa de

transmiti-lo.O default dessa opção é zero, que significaque nenhum pacote será descartado até que o clienteseja desconectado.

Update Stats Interval: Freqüência de atualizaçãodas estatísticas de sinal e de valor de CCQ. Essa

opção não altera a visualisação geral, mas sim aindividual por cliente. (por default as atualizações sãoefetuadas a todo momento e configuradas, mínimo 10segundos)


(Advanced)




(Advanced)Adaptive Noise Immunity: Habilita o ajuste devários parametros de recepção com a finalidade deminimizar os efeitos de interferências na qualidade de

sinal. Funcionalidade disponível somente em chipsetsAtheros mais recentes.

Patente Atheros: Ver documento anexo

101

MikrotikBrasil_Wireless_02.pdf

Preamble Mode: Para sincronizar transmissões asestações precisam trocar mensagens de sincronismo.O padrão inicial das redes Wi-Fi é de 128 bits (long) ediversos fabricantes suportam preambulo de 56 bits(short). Sendo todos os dispositivos capazes de

preambulo curto, é interessante habilitar para melhorara performance da rede.



102

u v y

Interface Wireless / Geral / Scan



Interface Wireless / Geral / Scan

103

Escaneia o meio (causa queda das conexões estabelecidas)A AtivaB BSS

P ProtegidaR rede MikrotikN NstremeNa linha de comando pode ser acessada em /interface/wireless/scan – wlan1

Interface Wireless / Geral / Uso de frequencias



Interface Wireless / Geral / Uso de frequencias

104

Mostra o uso das frequencias em todo o espectro, para site survey(causa queda das conexões estabelecidas)

Na linha de comando pode ser acessada em/interface/wireless/frequency-monitor wlan1

Interface Wireless / Geral / Alinhamento



Ferramenta de alinhamento com sinal sonoro( Colocar o MAC do AP remoto no campo Filter e campo Audio)

105

Rx Quality – Potencia (dBm) do último pacote recebido

Avg. Rx Quality – Potencia média dos pacotesrecebidos.

Last Rx – tempo em segundos do último pacote foi recebido

Tx Quality – Potencia do último pacote transmitido

Last Rx – tempo em segundos do último pacote transmitido

Correct – número de pacotes recebidos sem erroOBS: Filtrar MAC do PtP

Interface Wireless / Geral / Sniffer



106

Ferramenta para sniffar o ambiente Wireless captando e decifrando pacotesMuito útil para detectar ataques do tipo deauth attack e monkey jackPode ser arquivado no próprio Mikrotik ou passado por streaming para outro sevidor com o protocolo TZSPNa linha de comando habilita-se em / interface wireless sniffer sniff wlan1

Interface Wireless / Geral / Snooper



p

107

Com a ferramenta Snooper é possível monitorar a carga de tráfego em cada canal, por estação epor rede.Escaneia as frequencias definidas em scan-list da interface



Confi ura ões de Modo de

108

Operação

Interface Wireless / Geral



109

disable: não responde a solicitações ARP. Clientes tem de acessar portabelas estáticas.proxy-arp: passa o seu próprio MAC quando há uma requisição para algumhost interno ao roteador.reply-only: somente responde as requisições. Endereços de vizinhos sãoresolvidos estaticamente

Comportamento do protocolo ARP

Configurações Físicas / Modo Operação



110

ap bridge: Modo Ponto de Acesso (AP) – repassa os MAC’s do meio Wireless de formatransparente para o meio Cabeado.

bridge: Modo idêntico ao modo ap bridge, porém aceitando um cliente apenas.

station: Modo cliente de um AP – Não pode ser colocado em bridge com outras interfaces




111

station pseudobridge: Estação que pode ser colcada em modo bridge, porém que passaao AP sempre o seu próprio endereço MAC (uma bridge verdadeira passa os MAC’sinternos a ela).

station pseudobridge clone: Modo idêntico ao pseudobridge, porém que passa ao AP umMAC pré determinado do seu interior.

station wds: Modo estação, que pode ser colocado em bridge com a interface ethernet eque passa de forma transparente os MAC’s internos (bridge verdadeira). É necessário que oAP esteja em modo WDS (ver tópico específico de WDS, a frente)




112

alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal.Neste modo a interface Wireless “escuta” os pacotes que são mandados a ela por outrosdispositivos trabalhando no mesmo canal.

wds slave: Será visto no tópico específico de WDS.

Nstreme dual slave: Visto no tópico específico de Nstreme / Nstreme Dual



Confi ura ões Físicas

113

Protocolo Nstreme


Como trabalha o CSMA – Carrier Sense Multiple Access




Esta ão C

Estação B

Estação A

CRS

CRSdefer

defer

Redes Ethernet Tradicionais

Método CSMA/CD

(Collision Detection)

114

COLISÃO

Estação C

Estação B

Estação A

CRS

CRS

backoff

backoff backoff (rest)

CRS CRS

defer

Redes Wireless 802.11

Método CSMA/CA(Collision Avoidance)


Nstreme




Enable Nstreme: Habilita o Nstreme.

(As opções abaixo dessa só fazem sentido

estando esta habilitada.)

115

na e o ng: a a o mecan smo e o ng. ecomen a o

Disable CSMA: Desabilita o Carrier Sense. RecomendadoFramer Policy: Política em que serão agrupados os pacotes:

dynamic size: O Mikrotik determina

best fit: agrupa até o valor definido em Framer Limit sem fragmentar

exact size: agrupa até o valor definido em Framer Limit fragmentando senecessário

Framer Limit: Tamanho máximo do pacote em Bytes.


Nstreme Dual




1 : Passar o modo de operação dasinterfaces para nstreme dual slave.

116

2 : Criar uma interfaceNstreme Dual definindoquem é Tx e quem é Rx.

(usar canais distantes)


Nstreme Dual




3 : Verificar o MACescolhido pela interfaceNstreme dual e informar nolado oposto.

4 : Criar uma brid e entre

117

Práticas de RF recomendadas:

Antenas de qualidade, Polarizações invertidas, canais distantes, distancia entreantenas.

a ethernet e a interfaceNstreme Dual.



118

WDS : Wireless Distribution System



CANAL 11

CANAL 1

CANAL 1

Com WDS é possível criar uma cobertura Wireless ampla e permitindoque os pacotes passem de um AP ao outro de forma transparente. Os Ap’s devemter o mesmo SSID e estarem no mesmo canal.

2 AP’s com WDS



AP-3Wireless PC-Card

Bridge learn

table

AP-3

Wireless PC-Card

Tabela de associações

Bridge learn

table

yyy 4

yyyxxx

STA-2

24

STA-1

xxx

STA-2

yyyBSS-A

BSS-B

Pacote para STA-2

ACK

Pacote para STA-2

ACK

STA-1

xxx 2

WDS RelayPacket for STA-2

ACK

WDS Relay

WDS : Wireless Distribution System



CANAL 1

INTERNET INTERNET

WDS / Mesh WDS

RSTPPara evitar o looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos



Para evitar o looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos

protocolos trabalham de forma semelhante sendo o RSTP mais rápido.

122

O (R)STP inicialmente elege uma root bridge e utiliza o algorítimo “breadth-first search” quequando encontra um MAC pela primeira vêz, torna o link ativo. Se o encontra outra vêz,torna o link desabilitado.

Normalmente habilitar o (R)STP já é o suficiente para atingir os resultados. No entanto épossível interferir no comportamento padrão, modificando custos, prioridades, etc.

WDS / Mesh WDS

(R)STPAjustar para baixo se desejar assegurar a eleição



dessa bridge como root .

123

Custo: permite um caminho ser eleito em lugar de outro

Prioridade: quando os custos são iguais, é eleito o de

prioridade mais baixa.

WDS / Mesh WDS(R)STP



Admin MAC Address

124

A Bridge usa o endereço MAC da porta ativa com o menor número de porta

A porta Wireless está ativa somente quando existem hosts conectados a ela.

Para evitar que os MAC’s fique variando, é possível atribuir manualmente

um endereço MAC.

WDS / Mesh WDS

WDS Default Bridge: Informe aqui a bridgedefault



default.

WDS Default Cost: Custo da porta da bridge

do link WDS.WDS Cost Range: Margem do custo que pode

125

Modos de WDS

dynamic: as interfaces WDS são criadas dinamicamente quando umdispositivo em WDS encontra outro compatível (mesmo SSID e canal)

static: As interfaces tem de ser criadas manualmente com cada umaapontando para o MAC de sua “parceira”

dynamic mesh: O mesmo que dinâmica, porém com um algorítmoproprietário para melhoria do link (não compatível com outros fabricantes)

static mesh: A mesma explicação acima, porém para estátiva.

Wireless / Interfaces / WDS



WDS:

126

r a-se as n er aces , an o os parame ros:

Name: Nome da rede WDS

Master Interface: Interface sobre a qualfuncionará o WDS, podendo esta inclusive ser umainterface virtual

WDS ADDRESS: Endereço MAC que a interfaceWDS terá.

WDS / Mesh WDSLaboratórios de WDS/Mesh



Link transparente com station-wds

Rede Mesh com WDS+RSTP

127

WDS-Slave

Default AP Tx Rate: Estabelece a taxa máxima, em bps, que cada cliente pode ter dedownload

Interface Wireless / Wireless



Default Client TX Rate: Estabelece a taxa máxima, em bps, que cada cliente podeenviar ao AP – só funciona para cliente também Mikrotik.

Default Authenticate: (default-authentication) Especifica a ação padrão a ser adotadapela AP para os clientes Wireless que não estejam declarados na access list ( controle deMAC ). Para os equipamentos configurados como clientes, especifica a ação a seradotada para os AP’s que não estejam na Connect List.

128

yes: omo , e xa o c en e se assoc ar, mesmo se n o es ver ec ara o nas acc esslist. Como cliente, associa-se a qualquer AP, masmo que não esteja na connect list

Default Forward: (default-forwarding) Determina se poderá haver comunicação entreclientes conectados na mesma interface Wireless. Esse bloqueio é feito na camada 2 deenlace e portanto independente de IP. ( algumas AP’s tem esse recurso como IntraBSSrelay)- yes (marcado): permite a comunicação- No (desmarcado) não permite.a comunicação.OBS: Quando as interfaces estão em Bridge, pode haver comunicação entre clientes deinterfaces diferentes, mesmo com esse recurso habilitado.

Hide SSID: Determina se o AP vai divulgar o nome da Rede em broadcast através de“beacons”- yes (marcado): não divulga, somente respondendo aos clientes que enviarem os “proberequests”- no (desmarcado): divulga o nome da rede.



129

u

Wireless / Interfaces



Interfaces Virtuais:

Criando interfaces virtuais podemos montar várias

130

Name: Nome da rede virtual

MTU: Unidade de transferencia máxima (bytes)

MAC Address: Dê o MAC que quiser para o novo AP !

ARP Enable/Disable: habilita/desabilita proxy-arp: passa seu MAC reply-only

OBS: Demais configurações identicas de uma AP



131

Wireless Tables / Access List



O Access List é utilizado pelo Access Point para restringir associações de clientes.Esta lista contem os endereços MAC de clientes e determina qual a ação deve ser

132

oma a quan o um c en e en a conec ar. comun caç o en re c en es a mesmainterface, virtual ou real, também é controlada nos Access List.

O processo de associação ocorre da seguinte forma:

- Um cliente tenta se associar a uma interface Wlanx- Seu MAC é procurado no acces list da interface Wlanx.- Caso encontrada a ação especificada será tomada:

- authenticate marcado: deixa o cliente se autenticar - forwarding marcado, o cliente se comunica com outros..

Wireless Tables / Access List

Access List



MAC Address: Mac a ser liberado

Interface: Interface Real ou Virtual onde seráfeito o controle.

133

AP Tx Limit: Limite de tráfego AP cada

Cliente

Client Tx Limit: Limite de tráfego Cliente AP( só vale para cliente Mikrotik )

Authentication: Habilitado, autentica os MAC’sdeclarados.

Forwarding: Habilitdo permite a comunicaçãoentre clientes habilitados ( intra bss )

Private Key: Chave de criptografia

40 bit wep128 bit wepAes-com

Wireless Tables / Connect List



A Connect List tem a finalidade de listar os pontos deAcesso que o Mikrotik configurado como cliente pode seconectar.

134

MAC Address: MAC do AP

SSID: Nome da Rede

Area Prefix: String para conexão com o AP de mesmaarea

Security Profile: definido nos perfis de segurança.

OBS: Essa opção é interessante para evitar que o Clientese associe em um Ponto de Acesso falso ( sequestro doAP )



135

u

Wireless Tables / Security Profiles



Na tabels Security Profiles são definidos os perfis desegurança da parte Wireless que podem ser utilizados no

136

Name: nome que aparecerá em outras telas,

referenciando esse perfil

Mode: Modo de operação dynamic keys: gera chaves dinamicasautomaticamente static-keys-required: criptografa todos os pacotes e

somente aceita pacotes criptografados static-keys-optional: se existe uma chave privadaestática de estação (static-sta-private-key), esta seráutilizada. Caso contrário, estando a estação no modo AP,não será utilizada criptografia e em modo estação usaráse estiver setada a static-transmit-key

Evolução dos Padrões de Segurança Wireless



WPA2 (802.11i) c/ EAP

137

.WPA c/ AES ccmWPA c/ MD5WEP c/ TKIPWEP 128 bits

WEP 64 bits

+ SEGURANÇA

Wireless Tables / Security Profiles



Authentication Types:

WPA: Método não padrão IEEE utilizado durante algum

138

tempo pela indústria para evitar problemas do WEP

WPA2: Método compatível com 802.11i do IEEE.

PSK: Pré Shared Key – Chave compartilhada entre doisdispositivos.

EAP: Extensive Authentication Protocol

OBS: O AP irá divulgar todos os modos de autenticaçãomarcados aqui e as estações escolherão o métodoconsiderado mais seguro. Exemplo, WPA EAP ao invés deWPA PSK.

Wireless Tables / Security Profiles / General



Unicast Chipers:

TKIP: Protocolo de integridade de chave Temporal. Método

139

.Proxim implementa como WEP plus

AES CCM: Método de criptografia WPA mais seguro, que utilizaalgorítimo AES.

PSK: Pré Shared Key – Chave compartilhada entre doisdispositivos.

EAP: Extensive Authentication Protocol

OBS: O AP irá divulgar todos os modos de autenticação marcadosaqui e as estações escolherão o método considerado mais seguro.Exemplo, WPA EAP ao invés de WPA PSK.

Wireless Tables / Security Profiles / EAP



Métodos EAP:

Passtrough: Repassa o pedido de autentica ão para um

140

Servidor Radius ( esta opção somente é usada em AP’s)EAP/TLS: Utiliza um Certificado TLS ( Transport LayerCertificate)

TLS Mode:no-certificate: Certificados são negociadosdinamicamente utilizando o algorítimo de Diffie-Helmman don’t-verify-certificate: exige o certificado, porém não o

confere com uma entidade certificadors. verify-certificate: exige e verifica

TLS Certificate: Habilita um certificado importado em/certificates

Wireless Tables / Security Profiles / Static Keys



141

Static Keys:Utilizado em caso de WEP



142

com Mikrotik

Firewall



O Firewall é normalmente é usado como ferramenta de segurança para prevenir oacesso não autorizado à rede interna e ou acesso ao roteador em si, bloquear diversostipos de ataques e controlar o fluxo de dados tanto de entrada como de saída.

143

Além de segurança é no Firewall que serão desempenhadas diversas funções

importantes como a classificação e marcação de pacotes para uso nas ferramentas deQoS

A classificação do tráfego feita no Firewall pode ser baseada em vários classificadorescomo endereços MAC, endereços IP, tipos de endereços IP (broadcast, multicast, etc)

portas de origem e de destino, range de portas, protocolos, Tipo do Serviço (ToS),tamanho do pacote, conteúdo do pacote, etc etc.

Firewall – visão geral



144

Filter Rules: é onde ficam as regras de filtros de pacotes NAT: onde é feito a tradução de endereços (mascaramento por exemplo) Mangle: onde é feita a marcação de pacotes, conexões e roteamento Connections: onde são visualizadas as conexões existentes Address Lists: lista de endereços IP inserida manual ou dinamicamente que

podem ser utilizados em várias partes do Firewall Layer 7 Protocols: Filtros de camada 7 (Aplicação)

Princípios Gerais de FirewallCanais default

Um Firewall opera por meio de regras de Firewall Uma regra é uma expressão lógica



- Um Firewall opera por meio de regras de Firewall. Uma regra é uma expressão lógica

que diz ao roteador o que fazer com um tipo particular de pacote.- Regras são organizadas em canais ( chains ) e existem 3 canais pré definidos:

145

Input : responsável pelo tráfego que vai PARA o router

Forward : responsável pelo tráfego que PASSA pelo router

Output : responsável pelo tráfego que SAI do router

Diagrama da Estrutura de Filtro



Filtro Forward

146

Interface de

entrada

Filtro Input

Processo Local

IN

Processo Local

OUT

Interface de

Saída

Filtro OutputDecisão de

roteamento

Decisão de

Roteamento

Princípios Gerais de FirewallRegras



-

147

,listadas, ou seja de cima para baixo.

2 - As regras de firewall funcionam como o que em programação chamamos deexpressões condicionais , ou seja “se <condição> então <ação>”

3 – Se um pacote não atende TODAS as condições de uma regra ele passa para a

regra seguinte.

Princípios Gerais de FirewallRegras



–

148

ele, não importam as regras que estejam abaixo nesse canal, pois estas NÃO serãoprocessadas

5 – Existem algumas excessões ao critério acima, que são as ações de “passthrough” (passar adiante ) , log e add to address list. (visto adiante)

6 - Um pacote que não se enquadre em qualquer regra do canal, será por defaultaceito.

Firewall do Mikrotik – Filter Rules

As regras de filtro podem ser organizadas e mostradas das seguintes maneiras:

all: todas



all: todas

dynamic: regras dinâmicamente criadas por serviços (ex. Hotspot) input: regras do canal input

149

forward: regras do canal forward


Algumas ações que se pode tomar nas regras de filtro:



accept: aceita o pacote

150

pass roug : gnora a regra mas con a za e passapara a regra seguinte

drop: descarta silenciosamente o pacote

reject: descarta o pacote e responde com umamensagem de icmp ou tcp reset (ver ao lado)

tarpit: Respondendo com SYN/ACK ao um pacoteTCP/SYN entrante, mas não conclui a conexão.

Firewall / Filtro / canais criados pelo usuário

Além dos canais padrão, o administrador pode criar canais próprios, bastando darnomes a eles. Essa prática ajuda muito na organização do Firewall.



Para utilizar um canal criado devemos desviar o fluxo através de uma ação JUMP..

No exem lo abaixo além de in ut out ut e forward estão criados canais

151

chamados sanidade, segurança, vírus, etc.

Como funciona o canal criado pelo usuário

Além dos canaispadrão, oadministrador pode

Regra

Regra

Regra

Regra



administrador pode

criar canais própriose associa-los a umcanal padrão.

Regra

RegraJUMP

g

RegraRegra

152

Regra

RegraRegra

Regra

Regra

Regra

Regra

Regra

Regra

Regra

Regra

Canal criado pelo usuário

Como funciona o canal criado pelo usuário

Caso exista umaregra que tome aação RETURN

Regra

Regra

Regra

Regra



ação RETURN,

o retorno é feitoantecipadamente e

Regra

RegraJUMP

RegraRegra

153

deste são ignoradasRegra

RegraRegra

Regra

Regra

Regra

Regra

RETURN

Regra

Regra

Regra

Canal criado pelo usuário


Ações relativas a canais criados pelo usuário que se podetomar nas regras de filtro:



jump: salta para o canal definido em jump-target

154

Return: Volta para o canal que chamou o jump

Firewall do Mikrotik – Address Lists

Uma Address List, ou lista deendereços é uma lista de endereços IP

que pode ter várias utilizações,conforme serão vistos alguns

exemplos mais adiante



exemplos mais adiante.

-

155

Ações:add dst to address list: adiciona o IP de destino à lista

add src to address list: adiciona o IP de origem à lista

Address List: nome da lista de endereços

Timeout: por quanto tempo a entrada irá permanecer

entradas a essas listas no Filtro ou no

Mangle.

Connection TrackingConnection Tracking ( seguimento de conexões ) se refere a habilidade do roteadorde manter o estado da informação relativa às conexões, tais como endereços IP de

origem ou destino e pares de porta, estados da conexão, tipos de protocolos etimeouts Firewalls que fazem connection tracking são chamados de "stateful" e são



timeouts. Firewalls que fazem connection tracking são chamados de stateful e são

mais seguros que aqueles que fazem o processamento "stateless“

156

Connection Tracking



- O sistema de Connection Tracking ou Conntrack é o coração do Firewall. Ele obtem e

157

.

- Quando se desabilita a Função de Connection Tracking são perdidas asfuncionalidades de NAT e marcação de pacotes que dependam de conexão. Pacotesno entanto podem ser marcados diretamente.

-.Conntrack é exigente de recursos de hardware. Quando o equipamento trabalhaapenas como AP Bridge por exemplo, é indicado desabilita-la

Localização da Conntrack

Filtro Forward



158

Interface de

entrada

Filtro Input

Processo Local

IN

Processo Local

OUT

Interface de

Saída

Filtro Output

roteamento

Roteamento

Conntrack Conntrack

Connection Tracking



159

O estado de uma conexão pode ser:

established: significando que o pacote é parte de uma conexão já estabelecidaanteriormente new: significando que o pacote está iniciando uma nova conexão ou faz parte deuma conexão que ainda não trafegou pacotes em ambas direções related: significando que o pacote inicia uma nova conexão, mas que essa é

associada a uma conexão existente como FTP por exemploinvalid: significando que o pacote não pertence à nenhuma conexão conhecidanem está iniciando outra.



160

rewa er Protegendo o próprio Roteador e os Clientes

Princípios Básicos de Proteção

Proteção do próprio roteador

tratamento das conexões e eliminação de tráfego prejudicial/inútil



permitir somente os serviços necessários no próprio roteador prevenir e controlar ataques e acesso não autorizado ao roteador

161

Proteção da rede interna

tratamento das conexões e eliminação de tráfego prejudicial/inútil

permitir somente os serviços necessários nos clientes

prevenir e controlar ataques e acesso não autorizado em clientes.

Regras de Firewall

tratamento de conexõesRegras no Canal Input

Descarta conexões inválidas



Aceita conexões estabelecidas Aceita conexões relacionadas

162

Descarta o restante

Regras de Firewall

Controle de serviçosRegras no Canal Input – cont.

Permitir o acesso externo ao Winbox Permitir acesso externo por SSH Permitir acesso externo por Telnet



p Relocar as regras para que funcionem

163

Regras de Firewall

Filtrando tráfego prejudicial/inútil



Filtros de portas de vírusBlo ueia ortas mais o ulares utilizadas or vírus TCP e UDP 445 e 137-139

164

No momento existem algumas centenas Trojans ativos e menos de 50 tipos de vírus

ativos

No site da Mikrotik há uma lista com as portas e protocolos que utilizam esses vírus.

Baixar lista de vírus Mikrotik e fazer as regras de acordo

Regras de Firewall

Filtrando tráfego indesejável e possíveis ataques

Controle de ICMP



-Internet Control Message Protocol (ICMP) é basicamente uma ferramenta paradiagnóstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.

165

-Um roteador tipicamente utiliza apenas 5 tipos de ICMP (type:code), que são:

- PING – Mensagens 0:0 e 8:0- TRACEROUTE – Mensagens 11:0 e 3:3- PMTUD – Path MTU discovery – mensagem 3:4

Os outros tipos de ICMP podem ser bloqueados.

Regras de Firewall

Filtrando tráfego indesejávelIP’s Bogons: Existem mais de 4 milhões de endereços IPV4

Existem muitos ranges de IP restritos em redes públicas



g p

Existem várias ranges de IP’s reservados (não usados até o momento) para

166

propósitos específicos.

No material do curso está disponível uma Lista de IP’s Bogons atualizada em maio de2008, baseado no site Cymru que mantém a movimentação desses IP’s atualizada.http://www.cymru.com/Documents/bogon-dd.html

IP’s Privados: Muitos aplicativos mal configurados geram pacotes destinados a IP’s privados e éuma boa prática filtra-los.

Firewall

Proteções de ataques

Ping Flood



Ping Flood consiste usualmente degrandes volumes de mensagens de ICMPaleatórias

167

É possível detectar essa condição com a

regra ao lado

Interessante associar essa regra comuma de log

Firewall - Proteções de ataques

Port Scan



Consiste no escaneamento de portasTCP e UDP

168

A detecção somente é possível para

ataques de TCPPortas baixas (0 – 1023)

Portas altas (1024 – 65535)


DoS

O Principal objetivo do ataque de DoS é o consumo de recursos como CPU ou



largura de banda.

169

Usualmente o roteador é inundado com requisições de conexões TCP/SYNcausando a resposta de TCP/SYN-ACK e a espera do pacote de TCP/ACK

Normalmente não é intencional e é causada por vírus em clientes

Todos IP’s com mais de 10 conexões com o roteador podem ser consideradosatacantes .


DoSAtaques DoS - cont



Se simplesmente descartarmos as conexões, permitiremos que o atacante crieuma nova conexão.

170

A proteção pode ser implementada em dois estágios:

Detecção – criando uma lista dos atacantes DoS com base em connectionlimit

Supressão – aplicando restrições aos que forem detectados.


DoS



171


DoS

Com a ação tarpit aceitamos a conexão e a



fechamos, não deixando no entanto o atacante

172

.

Esta regra deve ser colocada antes da regra

de detecção ou então a address list vai

reeescreve-la todo o tempo.

Firewall

Proteções de ataques

dDOS



Ataques de dDos (dDoS) são bastante

173

parec os com os e o , por m par em eum grande número de hosts infectados

A única medida que podemos tomar éhabilitar a opção TCP syn cookie noconnection tracking do Firewall

Regras de Firewall

Proteção da Rede InternaRegras primeiras no Canal Forward

D t õ i álid



Descarta conexões inválidas Aceita conexões estabelecidas

174

Firewall do Mikrotik – NAT

NAT – Network Address Translation é uma técnica que permite que hosts em umaLAN usem um conjunto de endereços IP para comunicação interna e outro paracomunicação externa.

E i t d i ti d NAT



Existem dois tipos de NAT: Source Nat (srcnat), ou NAT de origem, quando o roteador reescreve o IP de

175

or gem e ou a por a por um ou ro e es no.

Destination NAT (dstnat), ou NAT de destino quando o roteador reescreve o

endereço ou a porta de destino.

SRC DST Novo SRC DST

SRC DST SRC Novo DST

SRC NAT

DST NAT

Firewall do Mikrotik – NAT

As regras de NAT são organizadas em canais:

d t t



dstnat:Processa o tráfego mandado PARA o roteador e ATRAVÉS do roteador, antes que ele

176

seja dividido em INPUT e FORWARD.

src-nat:Processa o tráfego mandado a PARTIR do roteador e ATRAVÉS do roteador, depoisque ele sai de OUTPUT e FORWARD

NAT

Filtro Forward



177

Interface de

entrada

Filtro Input

Processo Local

IN

Processo Local

OUT

Interface de

Saída

Filtro Output

Roteamento

Conntrack Conntrack

Dstnat

Roteamento

Srcnat

NAT - Exemplos

Source NAT - Mascarando a rede 192.168.0.0/24 atrás do IP 200.200.200.200 que estáconfigurado na interface ether1



178

Os pacotes de qualquer host da rede 192.168.0.0/24sairão com o IP 200.200.200.200

NAT - Exemplos

Destination NAT e Source NAT (1:1) – Apontando o IP 200.200.200.200 para o host interno192.168.0.100



179

NAT - Exemplos“Redirecionamento de Portas”: Fazendo com que tudo que chegue na porta 5100 vá parao servidor WEB que está na máquina interna 192.168.0.100 e tudo que chegar na porta 5200vá para a máquina 192.168.0.200



180

NAT - Exemplos

NAT 1:1 com netmap: Apontando a rede interna 192.168.0.0/24 para a rede pública200.200.200.200/24



181

Firewall do Mikrotik – NATNAT Helpers

Hosts em uma rede “nateada” não possuem conectividade fim-a-fimverdadeira. Por isso alguns protocolos podem não trabalharsatisfatóriamente em alguns cenários. Serviços que requerem ainiciação de conexões TCP de for a da rede, bem como protocolos

“stateless” como o UDP por exemplo podem não funcionar



stateless como o UDP por exemplo, podem não funcionar.Para contornar esses problemas, a implementação de NAT no

“ ”

182

ro prev a guns e pers que em a unç o e aux arnesses serviços.

Redirecionamento e Mascaramento

São formas especiais de de dstnat e srcnat respectivamente, ondenão se especifica para onde vai o pacote (to-address). Quando um

pacote é “nateado” como dst-nat, não importa se a ação é nat ouredirect que o IP de destino é automáticamente modificado.

Address Lists



Address Lists permitem que o usuário crie listas de

183

.utilizados pelo filtro do Firewall, Mangle e NAT.

Os registros de Address Lists podem ser atualizadosdinamicamente via action=add-src-to-address-list ouaction=add-dst-to-address-list, opções encontradasem NAT, Mangle ou Filter.

No Winbox é possível editar o nome da lista,simplesmente digitando-o

Address Lists - ExemploPenalizar o usuário que tentardar um Telnet no Roteador.Fazer com que esse usuárionão faça mais nada.

- cria-se as listas no Address



- cria-se as listas no Address-

184

para a lista ( soh_Telnet )

- marca-se no mangle no canalprerouting o protocolo TCP eporta 23

Address Lists - Exemplo

- Ainda no Mangle, adiciona-sea ação add-source ao addresslist chamado soh_telnet



185

- Nas regras de filtro, no canal

input pega-se os pacotes queestão na lista soh_telnet eescolhe-se a ação drop.

Knock.exe 192.168.0.2 1234:tcp 4321:tcp



186

Knock.exe 192.168.0.2 1234:tcp 4321:tcp



187

ip firewall rule

add chain=input dst-port=1234 protocol=tcp action=add-src-to-address-listaddress-list=temp address-list-timeout=15s

add chain=forward dst-port=4321 protocol=tcp src-address-list=tempaction=add-src-to-address-list address-list=liberado address-list-timeout=15m

Liberando o acesso para quem estiver na lista e negando

para o resto



para o resto

188



189

FIREWALL MANGLE

Firewall do Mikrotik – Mangle



190

A Facilidade Mangle apresentada no RouterOS do Mikrotik permite introduzir marcasem conexões e em pacotes IP em função de comportamentos específicos.

As marcas introduzidas pelo Mangle são utilizadas em processamento futuro e delasfazem uso ferramentas como o controle de banda, ferramentas de QoS e NAT. Elasexistem porém somente dentro do roteador, não sendo transmitidas para for a.

É possível porém com o Mangle alterar determinados campos no cabeçalho IP,como o ToS ( type of service ) e campos de TTL ( Time to live )

Estrutura do Mangle

As regras de Mangle são organizadas em canais e obedecem as mesmas regras

gerais das regras de filtros, quanto a sintaxe.



191

possível também criar canais pelo usuário

Há 5 canais padrão: Prerouting: marca antes da fila Global-in Postrouting: marca antes da fila Global-out Input: marca antes do filtro de Input

Output: marca antes do filtro OutputForward: marca antes do filtro Forward

Diagrama do MangleMangle

Forward



192

Interface de

entrada

Mangle

Input

Processo Local

IN

Processo Local

OUT

Interface de

Saída

Prerouting

Mangle

Input

Roteamento Postrouting

ec s o e

Roteamento

Açoes do Mangle

As opções de marcação incluem:

mark-connection – apenas o primeiro pacote.



mark connection apenas o primeiro pacote.

193

mark-packet – marca um fluxo (todos os pacotes)

mark-routing – marca pacotes para políticas de

roteamento

Marcando Conexões

Use mark-connection para identificar um ou um grupo de conexões com umamarca específica de conexão.



194

Marcas de conexão são armazenadas na tabela de connection tracking.

Só pode haver uma marca de conexão para uma conexão.

A facilidade Connection Tracking ajuda a associar cada pacote a uma conexãoespecífica.

Marcando Pacotes

Pacotes podem ser marcados:



195

Indiretamente, usando a facilidade de connection tracking, combase em marcas de conexão previamente criaddas ( mais rápido e

mais eficiente )

Diretamente, sem o connection tracking – não é necessário marcasde conexão e o roteador irá comparar cada pacote com determinadas

condições.

Estrutura de Firewall no Mikrotik



196

Fluxo de pacotes no Firewall



197

Mangle – Exemplo de marcaçãoMarcando a conexão P2P



198

[admin@MikroTik] ip firewall mangle> printFlags: X - disabled, I - invalid, D - dynamic0 chain=forward p2p=all-p2p action=mark-connectionnew-connection-mark=marca_da_conexao passthrough=yes

Mangle – Exemplo de marcaçãoMarcando os pacotes P2P



199

[admin@MikroTik] ip firewall mangle> printFlags: X - disabled, I - invalid, D - dynamic0 chain=forward p2p=all-p2p action=mark-connection new-connection-mark=conexao_p2p passthrough=yes

1 chain=forward connection-mark=conexao_p2p action=mark-packet new-packet-mark=pacote_p2p passthrough=no

MangleExemplos

Queremos dar um tratamento diferenciado a vários tipos de fluxos e

Precisamos marcar:

Fluxo de Navegação http e https



200

Email

MSN ICMP

P2P

O que não foi marcado acima

Dúvidas ??



201



202

&

Controle de Banda

Qualidade de Serviço

Normalmente a Internet trabalha com a filosofia do melhor esforço: cadausuário compartilha largura de banda com outros e, portanto, a transmissãode seus dados concorre com as transmissões dos demais usuários.

Os dados empacotados são encaminhados da melhor forma possível,

conforme as rotas e banda disponíveis. Quando há congestionamento, ospacotes são descartados sem distinção. Não há garantia de que o serviçoserá realizado com sucesso



203

será realizado com sucesso.

Entretanto, aplicações como voz sobre IP e videoconferência necessitam

de tais garantias. Durante a transmissão podem existir inúmeras coisas aospacotes enquanto circulam entre pontos, que resultam nos seguintesproblemas, do ponto de vista emissor/receptor:

pacotes descartados

pacotes com atraso

Qualidade de Serviçocont.

pacotes descartados (dropped packets) - os roteadores podem recusar-se a entregar alguns pacotes (drop) se estes chegarem quando os

buffers se encontram preenchidos. Estes podem ser descartados todos,ou apenas alguns, dependendo do estado da rede, e não existe forma de.



204

.responsáveis por pedir a retransmissão, o que resulta frequentementeem “engasgos" na transmissão;

atraso (delay) - pode decorrer muito tempo até um pacote atingir o seudestino, já que este é mantido em longas filas, ou segue um caminhoalternativo (menos direto) para evitar congestionamento da rede. Noentanto a transmissão também pode ocorrer muito rapidamente, e não

existe forma de determinar perante qual das situações nos encontramos;


Qualidade de Serviço (QoS) significa que o roteador deve priorizar e controlar o tráfegona rede. Diferentemente da limitação ou “controle de banda” o QoS tem a missão deracionalizar os recursos da rede, balanceando o fluxo de dados com a melhorvelocidade possível, evitando o “monopólio” do canal.

Os mecanismos ara rover QoS do Mikrotik são:



205

limitar banda para certos IP’s, subredes, protocolos, portas e outros parametros

limitar tráfego peer to peer priorizar certos tipos de fluxos de dados em relação a outros utilizar burst’s para melhorar o desempenho de acesso WEB aplicar filas em intervalos de tempo fixoscompartilhar a banda disponível entre os usuários de forma ponderada edependendo da carga do canal utilização de WMM – Wireless Multimedia


Para ordenar e controlar o fluxo de dados, é aplicada uma política de enfileiramentoaos pacotes que estejam deixando o Roteador, ou seja,

As filas são a licadas na interface onde o fluxo está saindo !



206

A limitação de banda é feita mediante o descarte de pacotes. No caso de protocolo

TCP, os pacotes descartados serão reenviados, de forma que não há com que sepreocupar com relação à perda de dados. O mesmo não vale para UDP.


Interfaces Virtuais

global-in – representa todas as interfaces de entrada em geral(INGRESS queue). As filas atreladas à global-in recebem todo o tráfegoentrante no roteador, antes da filtragem de pacotes.

global out representa todas as interfaces de saída em geral



207

global-out – representa todas as interfaces de saída em geral(EGRESS queue). As filas atreladas à global-out recebem todo o tráfegoque sai do roteador.

global-total – representa uma interface virtual através da qual passatodo o fluxo de dados. Quando se associa uma política de filas à global-total, a limitação é feita em ambas as direções.Por exemplo se configurarmos um total-max-limit de 256kbps, teremos umtotal de upload+download limitado em 256 kbps, podendo haver assimetria.


Os principais termos utilizados em QoS são:

queuing discipline (qdisc) – disciplina de enfileiramento – é um algorítimo que

mantém e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem (podendo inclusive reordena-los ) e detremina quais pacotes serão descartados.



208

Limit At ou CIR (Committed Information Rate) – Taxa de dados garantida – é avelocidade mínima que se fornece a um circuito.

Max Limit ou MIR (Maximal Information Rate) – Banda máxima que seráfornecida, ou seja limite a partir do qual os pacotes serão descartados

Priority – Prioridade – é a ordem de importancia que o tráfego será processado.Pode-se determinar qual tipo de tráfego será processado primeiro

Interfaces Virtuais

Roteador

RoteadorRGlobal-in

Global-total Global-out



RoteadorR

209

Global in Global total Global out

n interfacesde entrada m interfacesde saídaProc.

Interno

Interfaces Virtuais e o Mangle

MangleForward

Global In Decisão de Decisão deR t t

Mangle



210

Interface deentrada

MangleInput

Processo LocalIN

Processo LocalOUT

Interface deSaída

ManglePrerouting

MangleInput

(+Global Total) Roteamento

Global-out(+Global-Total)

Roteamento Postrouting

Tipos de FilasAntes de enviar os pacotes por uma interface, eles são processados por uma disciplina

de filas (queue types). Por padrão as disciplinas de filas são colocadas sob /queueinterface para cada interface física (este padrão não é mantido usando interfaces

virtuais).



211211

Uma vêz adicionada uma fila (em /queue tree ou /queue simple) para uma interfacefísica, a fila padrão da interface (interface default queue), definida em /queue

interface, será ignorada para a mesma. Isso significa que quando um pacote nãoencontra (match) qualquer filtro, ele é enviado através da interface com prioridade

máxima.

Disciplinas “Scheduler e Shaper”As disciplinas de filas são utilizadas para (re)enfileirar e (re)organizar pacotes na medida em que os mesmos “chegam” na interface. Asdisciplinas de filas são classificadas pela sua influência no fluxo de

pacotes da seguinte forma:

Tipos de Filas

• sc e u ers – apenas re or enam paco es e acor o com umd t i d l íti d t l d



212212

determinado algorítimo e descartam aqueles que se enquadram nadisciplina. Disciplinas “Scheduler” são:

PFIFO, BFIFO, SFQ, PCQ, RED

• shapers – também fazem a limitação. São:

PCQ e HTB

PFIFO e BFIFOEstas disciplinas de filas são baseadas no algorítimo FIFO (First-In First-Out), ou seja, oprimeiro que entra é o primeiro que sai.A diferença entre PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes.Existe apenas um parâmetro chamado pfifo-limit (bfifo-limit) que determina a quantidade

de dados uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se a filaestá cheia) será descartado. Tamanhos grandes de fila poderão aumentar a latência, em

Tipos de Filas

.R d d ti d fil li k ã ti d



213213

Recomenda-se o uso desse tipo de fila em links não congestionados

REDRED- Random Early Detection – Detecção aleatória “antecipada” é um mecanismo deenfileiramento que tenta evitar o congestionamento do link controlando o tamanho médio dafila .Quando o tamanho médio da fila atinge o valor configurado em red-min-threshold, o REDaleatóriamente escolhe um pacote para descartar. A probabilidade do número de pacotes queserão descartados cresce na medida em que a média do tamanho da fila também cresce. Se o

tamanho médio da fila atinge red-max-threshold, os pacotes são descartados com aprobabilidade máxima. Entretanto existem casos em que o tamanho real da fila (não a média)

Tipos de Filas

muito maior que red-max- hreshold, então todos os pacotes que excederem red-l m serãod t d



214214

descartados.

RED é indicado em links congestionados com altas taxas de dados. Como é muitorápido funciona bem com TCP.

SFQ

Stochastic Fairness Queuing (SFQ) – Enfileiramento Estocástico “com justiça” é umasimples aplicação dos algorítmos da família fair queuing .

É menos precisos do que outros, mas isso também exige menos cálculos apesar de

quase garantirem a igualdade entre as filas.Não limita tráfe o. O ob etivo é e ualizar os fluxos de tráfe o sessões TCP e streamin

Tipos de Filas

UDP) quando o link (interface) está completamente cheio. Se o link não está cheio, então



215

) q ( ) pnão haverá fila e, portanto, qualquer efeito, a não ser quando combinado com outrasdisciplinas (qdisc).

A “justiça” do SFQ é assegurado por algorítimos de hashing e round-robin. Algorítimos dehashing dividem o tráfego da sessão em um número limitado de sub-filas. Depois deatingido o tempo em segundos configurado em sfq-perturb o algorítimo de hashing mudae divide a sessão em outras subfilas. O algorítmo round-robin (re)enfileira essas sub-filasconforme configurado em pcq-allot bytes.

SFQ

Por conta do algorítmo de hashing, várias sessões poderiam acabar em um mesmosegmento, o que iria reduzir à metade a oportunidade de cada sessão enviar um pacote,assim, reduzir para metade a velocidade disponível. Para evitar que essa situação setorne perceptível, SFQ muda seu algoritmo hashing muitas vezes de maneira que duassessões colidindo irão ocorrer apenas em um pequeno número de segundos.

É recomendado o uso de SFQ em links congestionados para garantir que as

Tipos de Filas

. .



216216

PCQ

O PCQ - Per Connection Queuing – Enfileiramento por conexão foi criado para resolver algumas imperfeições do SFQ. É o único tipo de enfileiramento de baixo nível que podefazer limitação sendo uma melhoria do SFQ, sem a natureza estocástica. PCQ também criasub-filas considerando o parametro pcq-classifier . Cada sub-fila tem um taxa detransmissão estabelecida em pcq-rate e o tamanho do pacote máximo igual a pcq-limit. O

tamanho total de uma fila a PCQ fica limitado ao que for configurado em pcq-total-limit.O exemplo abaixo mostra o uso do PCQ com pacotes classificados pelo endereço de origem

Tipos de Filas



217217

PCQSe os pacotes são classificados pelo endereço de origem, então todos os pacotes com

diferentes endereços serão agrupados em sub-filas diferentes. Nesse caso é possível fazer a limitação ou equalização para cada sub-fila com o parâmetro pcq-rate. Talvez a partemais significante é decidir em qual interface utilizar esse tipo de disciplina. Se utilizarmos nainterface local, todo tráfego da interface pública será agrupado pelo endereço de origem (eprovavelmente não é o que se deseja), mas ser for empregada na interface pública todo otráfego de nossos clientes será agrupado pelo endereço de origem, o que torna fácilequalizar ou limitar o upload dos clientes. O mesmo controle pode ser feito para downloads,mas, nesse caso será utilizado o classificador dst-address e confi urado na interface local.

Tipos de Filas



218218

PCQ é uma boa ferramenta para controlar ou equalizar a banda entre diversosusuários com pouco trabalho de administração.

QoS - HTB

HTB (Hierarchical Token Bucket) é uma disciplina de enfileiramento hierárquica que é usualpara aplicar diferentes políticas para diferentes tipos de tráfego. Geralmente é possívelapenas se fazer uma fila para uma interface, mas no Mikrotik as filas são associadas ao HTBe assim podem “herdar” determinadas propriedades de uma fila “pai”. Como exemplo,poderíamos configurar um total máximo de banda para um grupo de trabalho e então

distribuir essa banda entre os seus membros: Explicação sucinta “ ”

- o n ve a c asse pa es ga a asclasses filhas.



219219

- Nas classes filhas no nível 0, os pacotes

recebem um tratamento determinado pelofiltro (endereço IP, porta, marcas domangle, etc) e pela disciplina de fila a ela

associada( fifo, bfifo, etc.)

- De acordo com esse tratamento, os

pacotes são classificados, reordenados ese for o caso alguns descartados.

- Se as classes filhas estão dentro do seulimit-at podem trafegar, independente da

classe pai, caso contrário ficam submetidas

Termos do HTB:

Filter - um processo que classifica pacotes. Os filtros são responsáveis pelaclassificação de pacotes para que eles sejam colocados nas correspondentes qdiscs.Todos os filtros são aplicados no fila raiz HTB e classificados diretamente no qdiscs,

sem atravessar a árvore HTB. Se um pacote não está classificado em nenhuma dasqdiscs, é enviado para a interface diretamente, atravessando o HTB, por isso

QoS - HTB

qualquer pacote do fluxo gerido pelo HTB) .



220

q q p g p )

Level - posição de uma classe na hierarquia.

Class - algoritmo de limitação no fluxo de tráfego para uma determinada taxa. Elanão guarda quaisquer pacotes (esta função só pode ser realizada por uma fila). Umaclasse pode conter uma ou mais subclasses (inner class) ou apenas uma e um qdisc

(leaf class).



QoS - HTB

Cada class tem um pai e pode ter umaou mais filhas. As que não têm filhas, sãocolocados no level 0 , onde as filas são

mantidas, e são chamadas de ‘leafclass’.



223223

Cada classe na hierarquia pode priorizar e dar forma ao tráfego (shaping ).

- Para “shaping” os parâmetros são:limit-at: banda garantida (CIR)max-limit: banda máxima permitida (MIR)

- Para priorizar:- priority: de 1 a 8, sendo 1 a máxima prioridade



Filas Simples

- As filas simples (simple queue) são a maneira mais fácil de se limitar a banda deendereços IPs distintos ou sub-redes. Elas permitem configurar as velocidades de upload

e download com apenas uma entrada.

- Também podem ser usadas para configuração de aplicações de QoS.



225225

- Os filtros de filas simples são executados completamente pelo HTB nas interfacesglobal-out (queue ‘direct’) e global-in (queue ‘reverse’)

- Os filtros “enxergam’ as direções dos pacotes IP da mesma forma que apareceriam noFirewall .

- Hotspot, DHCP e PPP criam dinamicamente filas simples.

Filas Simples



226226

- As principais propriedades configuráveis de uma fila simples são: Limite por direção IP de origem ou destino Interface do cliente

tipo de fila configurações de limit-at, max-limit, priority e burst para download e upload Horário

Como funciona o Burst

B t ã d iti lt t d d d t í d d t



227227

Bursts são usados para permitir altas taxas de dados por um curto período de tempo.

Os parametros que controlam o Burst são:

burst-limit: limite máximo que alcançará burst-time: tempo que durará o burst burst-threshold: patamar onde começa a limitar max-limit: MIR

Exemplo

max-limit=256kbps

burst-time=8sburst-threshold=192kb s

Como funciona o Burst

É dado ao cliente inicialmente a banda burst limit=512 kbps O algorítimo calcula a taxaburst-limit=512kbps



228228

- É dado ao cliente inicialmente a banda burst-limit=512 kbps. O algorítimo calcula a taxamédia de consumo de banda durante o burst-time de 8 segundos.

- com 1 segundo a taxa média é (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold)- com 2 segundos já é de (0+0+0+0+0+0+512+512)/8 = 128 kbs (abaixo do threshold)- com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192 (é o ponto de inflexão – onde acaba oburst)

A partir do momento que foi atingido o ponto de inflexão o Burst é desabilitado e a taxamáxima do cliente passa a ser o max-limit

Utilização de PCQ

PCQ – Per Connection Queue – Enfileiramento por conexão

- PCQ é utilizado para equalizar a cada usuário em particular ou cada conexão emparticular



229229

- Para utilizar PCQ, um novo tipo de fila deve ser adicionado com o argumento‘kind=pcq’

- Devem ainda ser escolhidos os parâmetros: pcq-classifier pcq-rate

- Com o rate configurado como zero, as

subqueues não são limitadas, ou seja elaspoderão utilizar o máximo de largura de

Utilização de PCQ

-

Se configurarmos um rate para PCQ a



230230

- Se configurarmos um rate para PCQ a

subqueues serão limitadas nesse rate, até ototal de max-limit

Utilização de PCQ

- , ,existe limit-at e tem um total de 512k, os clientesreceberão a banda da seguinte forma:



231231

g

512k

128k 128 64k

Banda total 2 clientes 4 clientes 8 clientes

-

Utilização de PCQ

, ,limit-at e tem um total de 512k, os clientesreceberão a banda da seguinte forma:



232232

512k

64k

Banda total 1 cliente 2 clientes 8 clientes

512k

256k

256k

Árvores de Filas

- Trabalhar com árvores de filas é uma maneira mais elaborada de administrar otráfego. Com elas é possível construir sob medida uma hierarquia de classes.

- Os filtros de árvores de filas são aplicados na interface especificada. Os filtros sãoapenas marcas que o Firewall faz nos fluxos de pacotes na opção “Mangle”. Os

.

- Os filtros nas interfaces global-in e global-out são executados antes dos filtros



233233

Os filtros nas interfaces global in e global out são executados antes dos filtrossimples. Note-se que as filas simples estão separadas em 2 partes: ‘direct’ emglobal-out e ‘reverse’ em global-in.

- Normalmente utilizamos as interfaces reais WAN e LAN, uma vez que usamos aqueue tree para configuração de serviço QoS.



Dúvidas ??



235235

Túneis&VPN’s



236236

VPN’s

-comunicações privada normalmente utilizada por uma empresa ou um conjunto deempresas e/ou instituições, construída em cima de uma rede de comunicações pública(como por exemplo a Internet) O tráfego de dados é levado pela rede pública



237237

(como por exemplo, a Internet). O tráfego de dados é levado pela rede pública

utilizando protocolos padrão, não necessariamente seguros.

VPNs seguras usam protocolos de criptografia por tunelamento que fornecem aconfidencialidade, autenticação e integridade necessárias para garantir a privacidadedas comunicações requeridas. Quando adequadamente implementados, estes

protocolos podem assegurar comunicações seguras através de redes inseguras.

VPN’s

As principais características das VPN’s são:

•exemplo.

• Promover acesso seguro sobre linhas dedicadas, wireless, etc.



238

• Promover acesso seguro a serviços em ambiente corporativo de correio,impressoras, etc.• Fazer com que o usuário, na prática, se torne parte da rede corporativa

remota recebendo IP’s desta e perfis de segurança definidos.• A base da formação das VPN’s é o tunelamento entre dois pontos, porém

tunelamento não é sinônimo de VPN.

Tunelamento

A definição de Tunnelling é a capacidade de criar túneis entre duas máquinas poronde certas informações passam.

ro mp emen a versos pos e une amen o, po en o ser an o serv orcomo cliente desse protocolos..



239239

- PPP ( Point to Point Protocol )- PPPoE ( Point to Point Protocol over Ethernet )- PPtP ( Point to Point Tunneling Protocol )- L2TP ( Layer 2 Tunneling Protocol )- IPSec ( IP Security )- Túneis IPIP- Túneis EoIP

Algumas definições comunspara os serviços PPP

• MTU/MRU: unidades máximas de transmissão/recepção em bytes. Normalmente o

padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular ospacotes, deve se definir valores menores para evitar a fragmentação.

• Keepalive Timeout: define o período de tempo em segundos após o qual o roteadorcomeça a mandar pacotes de keepalive a cada segundo. Se nenhuma resposta de



240240

começa a mandar pacotes de keepalive a cada segundo. Se nenhuma resposta de

keepalive é recebida pelo período de tempo de 2 vezes o keep-alive-timeout o cliente éconsiderado desconectado.

• Authentication:• Pap: usuário/senha passa em texto plano, sem criptografia

• Chap: usuário/senha com criptografia• mschap1: versão chap da Microsoft conf. RFC 2433• mschap2: versão chap da Microsoft conf. RFC 2759

Algumas definições comuns

para os serviços PPP

• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores doque a rede pode suportar, ou seja, maiores que o menor MTU (Maximum Transmission

Unit) do caminho, então será necessário que haja algum mecanismo para avisar queesta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra

com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, aresposta dos roteadores intermediários (possivelmente com pacotes do tipo ICMPPacket Tôo Big) e a adequação do tamanho dos pacotes posteriores é chamada PathMTU Di PMTUD N l t t f i lid d tá t t d



241

MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todosos roteadores comerciais e sistemas Unix Like, assim como no Mikrotik ROS.

• MRRU: tamanho máximo do pacote, em bytes, que poderá ser recebido no link. Se umpacote ultrapassa o valor definido ele será divido em pacotes menores, permitindo omelhor dimensionamento do túnel. Especificar MRRU significa permitir MP (MultilinkPPP) sobre um túnel simples. Essa configuração é útil para o protocolo PMTUDiscovery superar falhas. O MP deve ser ativado em ambos os lados (cliente eservidor).

• Change MSS (Máximum Segment Size Field, ou seja o tamanho máximo do segmento de dados.).

Um pacote com MSS que ultrapassa o MSS dos roteadores por onde um túnel está estabelecidodeve ser fragmentado antes de enviá-lo. Em alguns casos o PMTUD está quebrado ou osroteadores não conseguem trocar as informações de maneira eficiente e causam uma série deproblemas com transferência HTTP, FTP e correio eletrônico, além de mensageiros instantâneos.

Neste caso o Mikrotik ROS proporciona ferramentas onde é possível intervir e configurar uma

diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema.



242242

Servidor ou Cliente PPP

PPP (point-to-point protocol) é um protocolo desenvolvido para permitir acessoautenticado e transmissão de pacotes de diversos protocolos, originalmente emconexões de ponto a ponto (como uma conexão serial). O PPP encapsula o protocolo

, .

O Mikrotik pode ser configurado para ser um servidor PPP, com a opção PPP Server.Clientes remotos (dial up por exemplo) podem ser autenticados no próprio Mikrotik



243243

Clientes remotos (dial up por exemplo) podem ser autenticados no próprio Mikrotik,utilizando a base de dados local em /user ou através de um servidor Radiusespecificado em /ip ppp

Também é possível configurá-lo para discar para um servidor dial up sob demanda

tornando-o um cliente Dial Up• Para ambos os casos é necessário uma interface serial conectada a um modem.



PPP / Interfaces / PPP Server / Dial-In



245245

Profile: escolhe o perfil de segurança definido em /ppp profiles

Ring Count: número de toques antes do atendimento

PPP Client



246246

O Mikrotik também pode ser um cliente Dial-Up, devendo serem configurados osparâmetros: Name: nome do perfil Porta

String de inicialização do modem Null modem: sem string de inicialização

Configuração do PPP Client

Configuração do Dial-out: Phone: número a ser discado



247247

Phone: número a ser discado Dial Command: string a ser enviada ao modem local User / Password: usuário e senha no servidor remoto Profile: perfil de segurança definido em /ppp profiles Dial On Demand: discar sempre que algum aplicativo tentar usar saída Add Default Route: usa a rota default configurada em / ip route Use Peer DNS: usa os servidores de DNS definidos no servidor remoto.

Servidor ou Cliente PPPoEPPPoE (point-to-point protocol over Ethernet) é uma adaptação do PPP parafuncionar em redes Ethernet. Pelo fato da rede Ethernet não ser ponto a ponto, ocabeçalho PPPoE inclui informações sobre o remetente e destinatário, desperdiçandomais banda (~2% a mais).

- Muito usado para autenticação de clientes com Base em Login e senha. O PPPoEestabelece a sessão e realiza a autenticação com o provedor de acesso a Internet.



248248

- O cliente não tem IP configurado, o qual é atribuido pelo PPPoE server (concentrador), normalmente operando em conjunto com um servidor Radius. NoMikrotik ROS, não é obrigatório o uso de servidor Radius, pois o mesmo permite acriação e gerenciamento de usuários e senhas em uma tabela local (/ppp secrets).

- PPPoE, por padrão, não é criptografado (pode-se lançar mão do método MPPE,desde que o cliente suporte este método)

Servidor ou Cliente PPPoE

- O cliente “descobre” o servidor através do protocolo “PPPoE discover”, quetem o nome do serviço a ser utilizado.



249

- Precisa estar no mesmo barramento físico ou os dispositivos passarem parafrente as requisições PPPoE (pppoe relay).

- No Mikrotik ROS o valor padrão do Keep Alive Timeout é 10, e funcionarábem na maioria dos casos. Se configurarmos para 0, o servidor nãodesconectará os clientes até que os mesmos solicitem ou o servidor for reiniciado.

Configuração do Servidor PPPoE

1 – Crie um pool de IP’s para o PPPoE/ip pool add name=pool-pppoeranges=10.1.1.1-10.1.1.254



250250

2 – Adicione um Perfil de PPPoE onde:

Local address = endereço IP do concentrador

Remote address = pool do pppoe

/ppp profile add name=“perfil-pppoe" local-address=192.168.1.1 remote-address=pool-pppoe


3 – Adicione um usuário e senha/ppp secret add name=usuariopassword=123456service=concentrador-pppoeprofile=perfil-pppoe.

aso que ra ver car o - ress,adicione-o em Caller ID. Esta opção nãoé obrigatória, mas é um parâmetro amais que garante segurança.



251251


4 – Adicione o PPPoE Server Service Name = nome que os clientes vão

procurar (pppoe-discovery).

-authentication=chap,mschap1,mschap2default-profile=perfil-pppoe disabled=nointerface=wlan1 keepalive-timeout=10 max-



252

mru=1480 max-mtu= 1480 max-sessions=50mrru=512 one-session-per-host=yes service-name=concentrador-pppoe

Mais sobre Perfis

Bridge: bridge para associar ao perfil.

Incoming/Outgoing Filter: nome do canal do Firewallpara pacotes entrando/saindo.

Address List: lista de endere os IPs ara associar ao perfil.

DNS Server: configuração dos servidores DNS a



253253

atribuir nos clientes. Pode se configurar mais de umendereço IP.

Use Compression/Encryption/Change TCPMSS:caso estejam default associam ao valor que está

configurado no perfil DEFAULT-PROFILE.

Mais sobre Perfis Session Timeout: é a duração máxima de uma

sessão pppoe.

Idle Timeout: é o período de ociosidade natransmissão de uma sessão. Se não houver tráfego

IP dentro do período configurado a sessão é.

Rate Limit: limitação da velocidade na forma rx-rate[/tx-rate] – rx é o upload do cliente



254

OBS: Pode ser usada a sintaxe: rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx-burst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/tx-rate-min]]]].

Only One: permite apenas uma sessão para omesmo usuário.

Mais sobre o user Database

Service: Especifica o servico disponível para essecliente em particular.

Caller ID: MAC address do cliente

Local Address/Remote Address: endere o IP local(servidor) e remote(cliente) que poderão seratribuídos a um cliente em particular.



255255

Limit Bytes In/Out: Quantidades de Bytes que ocliente pode trafegar por sessão PPPoE

Routes: Rotas que são criadas no lado servidor paraesse cliente específico.Várias rotas podem ser

adicionadas separadas por vírgula.

Detalhes adicionais do PPPoE Server O Concentrador PPPoE do Mikrotik suporta múltiplos servidorespara cada interface com diferentes nomes de serviço. Além donome do serviço, o nome do Concentrador de Acesso pode ser usado pelos clientes para identificar o acesso em que deve seregistrar.

Nome do Concentrador = Identidade do roteador (/systemidentity)

O valor de MTU/MRU inicialmente recomendado para o PPPoEé de 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no Access Point. Para clientes RouterOS, a interface derádio pode ser configurada com a MTU em 1600 bytes e a MTU dainterface PPPoE em 1500 bytes. Isto otimiza a transmissão de



256256

pacotes e evita problemas associados com MTU menor que 1500bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio em clientes MS Windows.

One session per Host: permite apenas uma sessão por host(MAC address)

Max Sessions: número máximo de sessões simultâneas que oConcentrador suportará.



Configuração do PPPoE Client



258258

AC Name: nome do Concentrador. Deixando em branco conecta com qualquer um. Dial on Demand: disca automaticamente sempre que é gerado um tráfego de saída.Add default route: adiciona uma rota padrão (não usa a do servidor).Use Peer DNS: Usa o DNS configurado no Concentrador.



Servidor ou Cliente PPtP

PPtP – Point to Point Tunnel Protocol – Protocolo de tunelamento ponto a ponto é umprotocolo desenvolvido pela Microsoft que pode ou não ser criptografado. PPTP incorpora o

método MPPE (Microsoft Point to Point Encryption), para fazer as conexões encriptadas(MPPE 40bit RC4 e MPPE 128bit RC4 são suportados). O tráfego PPTP utiliza a porta TCP

1723 e o protocolo IP GRE (Generic Routing Encapsulation), de acordo com a atribuição daInternet Assigned Numbers Authority (IANA). PPTP pode ser usado com a maioria dosfirewalls e roteadores existentes. Conexões PPTP podem sofrer limitações ou nãofuncionar, em conexões através de NAT, tornando-se necessário a habilitação de NAT

H l t d /fi ll i ã A i i i li õ ã



260260

Helpers nos roteadores/firewalls que gerenciam a conexão. As principais aplicações são:- Formação de túneis seguros entre dois routers pela Internet

- Para unir de forma transparente Intranets ou LAN’s

- Para usuários remotos se logarem no ambiente corporativo da empresa de forma seguramesmo em locais públicos como Hotspots por exemplo.

Configuração do Servidor PPtP

–/ppp secret add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=pptp-clientepassword=123456 profile=default-encryption routes=""

service=pptp



261261

service=pptp

2 – Habilite o PPtP Server /interface pptp-server server setauthentication=chap,mschap1,mschap2 default-profile=default-encryption enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled

Não se esqueça deConfigurar o Perfile um pool de IP.

Configuração do cliente PPtP

Adicionando pelo terminal :/interface pptp-client add add-default-route=no



262262

/interface pptp-client add add-default-route=noallow=chap,mschap1,mschap2 comment="" connect-to=200.200.200.200 disabled=no max-mru=1460max-mtu=1460 mrru=disabled name=pptp-out1password=123456 profile=default-encryption

user=pptp-cliente

L2TPL2TP – Layer 2 Tunnel Protocol – Protocolo de tunelamento de camada 2

L2TP é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O protocolo

L2TP trabalha no layer 2 de forma criptografada ou não e permite enlaces entre dispositivos dediferentes redes unidos or diferentes rotocolos.

Como exemplo, um usuário conectado em um RAS de uma companhia telefonica pode se conectar aobackbone de um provedor de acesso que lhe atribui banda e endereçamento IP próprio.

O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados A porta UDP



263263

O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados. A porta UDP1701 é utilizada para o estabelecimento do link e o tráfego em si utiliza qualquer porta UDP disponível,o que significa que L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando tambématravés de NAT.

As normas indicam que a maneira mais segura para encriptar os dados é utilizando L2TP sobre IPSec(método padrão para MS Windows).



Configuração do L2TP Cliente

Configurar o Mikrotik como Cliente de um servidor L2TP émuito simples conforme mostram as telas ao lado.

Na linha de comando seria :



265265

Na linha de comando seria :/interface l2tp-client add add-default-route=noallow=chap,mschap1,mschap2 comment="" connect-to=200.200.200.200 disabled=yes max-mru=1460 max-mtu=1460 mrru=disabled name=l2tp-out1password=123456 profile=default-encryption user=usuario-l2tp

Open VPN

O OpenVPN é uma implementação livre da tecnologia VPN, com elepodemos criar túneis ponto-a-ponto encriptados entre computadores.

Ele foi desenvolvido por James Yonan e publicado sob licença livre GNUGPL.

Como funciona o OpenVPN ?

,usuário/senha. Ele utiliza encriptação advinda da biblioteca OpenSSL e protocolos

conhecidos como SSLv3/TSLv1. Está disponível para sistemas Solaris, Linux, OpenBSD,FreeBSD, NetBSD, MAC OS X e até mesmo para sistemas proprietários como o Windows

2000/XP e Mikrotik ROS Dispõe de vários recursos de controle e segurança não ébaseado em WEB VPNs e não é compatível com IPSEC ou qualquer outro tipo de pacotes



266

2000/XP e Mikrotik ROS. Dispõe de vários recursos de controle e segurança, não ébaseado em WEB VPNs e não é compatível com IPSEC ou qualquer outro tipo de pacotesVPN. Todo o Pacote do OpenVPN consiste em um binário para conexões tanto para o

cliente e servidor, um arquivo de configurações opcional, e uma ou mais chaves dependendoda forma de autenticação escolhida.

OpenVPN funciona sobre os protocolos UDP (preferencial, e padrão) ou TCP. Funciona bematravés da maioria de servidores proxy (incluindo HTTP) e NAT, tornando-se uma boa opção

Open VPN

O Mikrotik RouterOS na versão 3.x suporta OpenVPN no modo servidor e cliente. Énecessário a instalação e ativação do pacote PPP. Existe uma limitação usando OpenVPNno Mikrotik ROS: atualmente somente o protocolo TCP é suportado. O protocolo UDP não

funciona.

OpenVPN trabalha com certificados SSL. Podemos criar estes certficados através doserv ço p: cacer .org ou usar scr p s pr pr os como easy-rsa, s r u os em v r osinstaladores do OpenVPN. No Mikrotik devemos fazer o upload via ftp (certificado CA e

chave privada) e importar usando /certificate import .



267

Criando Certificados com CAcert.org

Realize o cadastro no CAcert.org. Faça o login e defina seu domínio (Domains > Add).

No Mikrotik RouterOS, abra o Terminal e crie uma requisição de certificado com ocomando:

- -

Agora é necessário preencher algumas questões:

Open VPN

certificate request file name: certificate-request.pem

file name: private-key.pem

passphrase: ********

verify passphrase: ********

rsa key bits: 1024

country name: BR



268

country name: BR

state or province name: SP

Agora é necessário preencher algumas questões:

Open VPN

locality name: Sao Paulo

organization name: Mikrotik Brasil

organization unit name: Training

common name: host.mikrotikbrasil.com.br

email address: [email protected]

challenge password: <enter>



269

challenge password: enter

unstructured address: <enter>

Open VPN

Os campos com relevância a serem informados são a Passphrase e Common Name, sendoque os outros poderão ser deixados em branco. Após alguns segundos será informado que

a Requisição de Certificado foi gerada.

echo: system,info,critical certificate request file certificate-request.pem and private key file private-

key.pem created Copie o arquivo certificate-request.pem para seu computador e abra com algum editor de

textos simples (exceto bloco de notas). Acesse sua conta no CAcert.org e crie um novoCertificado para Servidor (Server Certificates > New). Copie o conteúdo do arquivo

certificate-request.pem e cole na caixa "Paste Your CSR(Certificate Signing Request)

below...". Envie o formuário e aguarde a mensagem "Below is your Server Certificate" serexibida Copie e cole as informações usando um editor de textos simples (exceto bloco de



270

g g yexibida. Copie e cole as informações usando um editor de textos simples (exceto bloco de

notas) e salve como certificate-response.pem. Faça o upload deste arquivo para oMikrotik ROS e importe usando o menu Certificates:

Configuração do servidor OVPN1 - Crie um pool de IPs:

/ip pooladd name=pool-ovpn ranges=192.168.200.2-192.168.200.14

2 – Crie um perfil para OVPN:

""

- - -address=192.168.200.1 name=ovpn-profile only-one=defaultremote-address=pool-ovpn use-compression=default use-encryption=required use-vj-compression=default



271

3 – Crie um usuário para OVPN:

/ppp secret add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=usuario-ovpn password=123456

profile=ovpn-profile routes="“ service=ovpn

Configuração do servidor OVPN

Habilite o servidor OVPN

/interface ovpn-server server set auth=sha1,md5certificate=cert1 cipher=blowfish128,aes128,aes192,aes256

default-profile=ovpn-profile enabled=yes keepalive-

Open VPN

meou = sa e max-m u= mo e= p ne mas =port=1194 require-client-certificate=no

Atualmente existe um bug na implementação doOpenVPN no Mikrotik ROS, onde se

fi ã R i Cli t C tifi t



272

pconfigurarmos a opção Require Client Certificate

teremos problemas com TLS. Desta forma aconfiguração deverá ser para NO.

Caso possua um firewall ativo, crie um filtro permitindo acesso na porta 1194/ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no

dst-port=1194 protocol=tcp

Configuração do cliente OVPN

Open VPN/interface ovpn-client

add add-default-route=no auth=nonecertificate=none cipher=none comment="“ connect-to=200.200.200.200 disabled=no mac-address=00:00:00:00:00:00 max-mtu=1500 mode=ip

name=ovpn-out1 password=123456 port=1194 -



273

Túneis IPIPIPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP baseado naRFC 2003. É um protocolo simples que pode ser usado para ligar duas Intranetsatravés da Internet usando 2 routers.

real.

Vários Roteadores comerciais, icluindo o Cisco e baseados em Linux suportam esse

protocolo.



274274

Um exemplo prático de uso de IPIP seria a necessidade de monitorar hosts através deum NAT, onde o túnel IPIP colocaria a rede privada disponível para o host que realizao monitoramento, sem necessidade de criação de usuário e senha como nas VPNs.

Túneis IPIP

Exemplo:Supondo que temos de unir as redes que estão por trás dos roteadores 200.200.200.1 e

200.200.100.1. Para tanto basta que criemos as interfaces IPIP em ambos routers, da



275275

Túneis IPIP

Em seguida atribui-se endereço IP às interfaces criadas ( de preferência ponto a ponto )



276276

Pronto, está criado o Túnel IPIP e agora as redesfazem parte do mesmo domínio deBroadcast.

Túneis EoIP

EoIP ( Ethernet over IP ) é um protocolo proprietário Mikrotik para encapsulamento de todotipo de tráfego sobre o protocolo IP. Quando habilitada a função de Bridge dos roteadoresque estão interligados através de um túnel EoIP, todo o tráfego é passado de um lado para ooutro como se houvesse um cabo de rede interligando os pontos, mesmo roteando pela

Internet e por vários protocolos.

EoIP possibilita:- Interligação em bridge de LAN’s remotas através da Internet- Interligação em bridge de LAN’s através de túneis criptografados- Possibilidade de “bridgear” LAN’s sobre redes Ad Hoc 802.11



277277

Características:- A interface criada pelo túnel EoIP suporta todas as funcionalidades de uma interface

Ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP.- O protocolo EoIP encapsula frames Ethernet através do protocolo GRE.-O número máximo de túneis suportados no Mikrotik ROS são 65536.

Túneis EoIP

Criando um túnel EoIP entre as redes que estão por trás dos roteadores 200.200.200.1 e 200.200.100.1.OBS:- Os MAC’s devem ser diferentes e estar entre orange 00-00-5E-80-00-00 to 00-00-5E-FF-FF-FF pois



278278

range 00-00-5E-80-00-00 to 00-00-5E-FF-FF-FF, poissão endereços reservados para essas aplicações.-O MTU deve ser deixado em 1500 para evitar fragmentações.

- O túnel ID deve ser o mesmo em ambos os lados.

Túneis EoIP

• Adicione a interface EoIP àbridge, juntamente com ainterface da rede que fará parte

do mesmo domínio de broadcast (normalmente uma interface darede privada – LAN).



279

Dúvidas ??



280280

Hotspotno

Mikrotik



281



Hotspot

Setup do Hotspot:

1 – Escolha a interface que vai“ouvir” o Hotspot

2 – Escolha o IP em que vai rodar mascarada

3 – Dê um pool de endereços queserão distribuidos para os

usuários do Hotspot (se não tiver,crie em /ip pool)



283

4 – Selecione um certificado, casoqueira usar.continua…



Hotspot

Embora tenha sido uma configuração bastante fácil e rápida, o Mikrotik se encarregoude fazer o trabalho pesado, criando as regras apropriadas no Firewall, bem como umafila específica para o Hotspot.



285

Hotspot - Detalhes de Configuração

keepalive-timeout ( time | none ; default: 00:02:00 )Utilizado para detectar se o computador do cliente estáativo e encontrável. Caso nesse período de tempo o testefalhe, o usuário é tirado da tabela de hosts e o endereço Ipque ele estava usando é liberado. O tempo é contabilizadolevando em consideração o momento da desconexãomenos o valor configurado ( 2 minutos por default)

idle-timeout ( time | none ; default: none ) – máximoperíodo de inatividade para clientes autorizados. Éutilizado para detecta que clientes não estão usando redes

externas ( internet em geral ) e que não há tráfego docliente através do roteador. Atingindo o timeou o cliente éderrubado da lista dos hosts, o endereço IP liberado e a

ã t bili d d l



286

sessão contabilizada a menos desse valo.

addresses-per-mac ( integer | unlimited ; default: 2 ) –

número de IP’s permitidos para um particular MAC

Hotspot Server Profiles

HTML Directory:Diretório onde estão colocadas as páginas desse Hotspot

HTTP Proxy / HTTP Proxy PortEndereço e porta do Servidor de Web Proxy

SMTP Server:Endereço do servidor de SMTP



287

rate-limit:Cria uma simple Queue para todo o Hotspot (vai após as filas dinamicas dosusuários.


login-by• cookie - usa HTTP cookies para autenticar sem pedir as credenciais. Se o cliente aindanão tiver um cookie ou tiver expirado usa outro método

• http-chap - usa método CHAP – método criptografado - - –• https – usa tunel SSL criptografado. Para isso funcionar, um certificado válido deve serimportado para o roteador.• mac – Tenta usar o MAC dos clientes primeiro como nome de usuário. Se existir na

tabela de usuários local ou em um Radius, o cliente é liberado sem username/password• trial – não requer autenticação por um certo período de tempo



288

HTTP Cookie Lifetime: tempo de vida dos Cookies

Split User Domain: corta o dominio do usuário no caso de usuá[email protected]


Utilização de servidor Radius para autenticação do Hotspot

: Location ID e Location Name: Podem ser atribuidos aqui ou no Radius – normalmente deixar embranco.

Habilitar Accounting para fazer a bilhetagem dos usuários, com histórico de logins, desconexões,

etc

Interim Update: Frequencia de envio de informações de accounting (segundos) 0 assim que



289

Interim Update: Frequencia de envio de informações de accounting (segundos). 0 – assim queocorre o evento.

NAS Port Type: Wireless, Ethernet ou Cabo

Hotspot User Profiles

Os user profiles servem para dar tratamento diferenciado a grupos de

usuários, como suporte, comercial, diretoria, etcSession Timeout: tempo máximo permitido (depois disso o cliente éderrubado)

Idle Timeout / Keepalive Timeout: mesma explicação anterior, no .

Status Autorefresh: tempo de refresh da página de Status doHotspot

Shared Users: número máximo de clientes com o mesmousername.



290


Os perfis dos usuários podem conter os limites de velocidade

implementados de forma completa, com bursts, limit-at, etcRate Limit:rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate]] [rx-burst-threshold[/tx-burst-threshold]] [rx-burst-time[/tx-burst-time]] [priority] [rx-limit-at[tx-limit-at]]

Exemplo: 128k/256k 256k/512k 96k/192k 8/8 6 32k/64k

-- 128k de upload, 256k de download

-- 256k de burst p/ upload, 512k de burst p/ download-- 96k de threshold p/ upload, 192k de threshold p/ download-- 8 segundos de burst time



291

-- 8 segundos de burst time-- 6 de prioridade-- 32k de garantia de upload, 64k de garantia de download


Incoming Filter: nome do firewall chain aplicado aos pacotes que

chegam dos usuários deste perfil Outgoing Filter: nome do firewall chain aplicado aos pacotes quevão para os usuários desse perfil

Incoming Packet Mark: Marca colocada automáticamente em

Outgoing Packet Mark: Marca colocada em todos os pacotes quevão para os usuários desse perfil.

Open Status Page: mostra a página de status http-login : para usuários normais que logam pela web always ; para todos inclusive os que logam por MAC



292

always ; para todos, inclusive os que logam por MAC

Transparent Proxy: se deve usar proxy transparente


Com a opção Advertise é possível enviar de tempos em tempos

popups para os usuários do Hotspot.Avertise URL: Lista das páginas que serão anunciadas. A lista écíclica, ou seja quando a última é mostrada, começa-se novamentepela primeira.

.sequencia terminada, usa sempre o último intervalo. No exemplo, sãomostradas inicialmente a cada 30 segundos, 3 vezes e depois a cada1 hora.

Advertise Timeout: Quanto tempo deve esperar para o anúncio sermostrado, antes de bloquear o acesso à rede com o “Walled-Garden” pode ser configurado um tempo ( default = 1 minuto )



293

nunca bloquear bloquear imediatamente

Hotspot User Profile - Scripts

O mikrotik possui uma linguagem interna de scripts que podemser adicionados para serem executados em alguma situaçãoespecífica.

No Hotspot é possível criar scripts que executem comandos a

medida que um usuário desse perfil se conecta ou seesconec a o o spo

-Os parâmetros que controlam essas execuções são

on-loginon-logout



294

Os scripts são adicionados com / system scripts add

Hotspot Users



295

Hotspot Users

Detalhes de cada usuário:

all para todos os hotspots configurados ou para um específico.

Name: Nome do usuário. Se o modo trial estiver habilitado o Hotspotcolocará automáticamente o nome T-MAC_address. No caso de autenticação

por MAC, o MAC pode ser adicionado como username (sem senha).

Endereço IP: caso queira vincular esse usuário a um endereço fixo.

MAC Address: caso queira vincular esse usuário a um MAC determinado

Profile: perfil de onde esse usuário herda as propriedades

Routes: rota que será adicionada ao cliente quando esse se conectar.



296

Routes: rota que será adicionada ao cliente quando esse se conectar.Sintaxe endereço de destino gateway metrica. Exemplo 192.168.1.0/24192.168.166.1 1. Várias rotas separadas por vírgula podem ser adicionadas.

Email: ?

Hotspot UsersLimit Uptime: Total de tempo que o usuário pode usar o Hotspot.Útil para fazer acesso pré pago. Sintaxe hh:mm:ss. Default = 0s –

sem limite. Limit Bytes In: total de Bytes que o usuário pode transmitir. (bytesque o roteador recebe do usuário. Limit Bytes Out: total de Bytes que o usuário pode receber. (bytesque o roteador transmite para o usuário.

Os limites valem para cada usuário. Se um usuário já fez o downloadde parte de seu limite, o campo session limit vai mostrar o restante.Quando o usuário exceder seu limite será impedido de logar. Asestatísticas são atualizadas cada vez que o usuário faz o logoff, ouseja enquanto ele estiver logado as estatísticas não serão mostradas.

Use /ip hotspot active para ver as estatísticas atualizadas nassessões correntes dos usuários.



297

Se um usuário tem o endereço IP especificado somente poderá haver

um logado. Caso outro entre com o mesmo usuário/senha, o primeiroserá desconectado.

Hotspot Active

M t d d i t tí ti d t d



298

Mostra dados gerais e estatísticas de todos osusuários conectados

IP Bindings

O Mikrotik por default tem habilitado o “universal client” que é uma facilidade queaceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.Esta facilidade é denominada “DAT” na AP 2500 e “eezee” no StarOS.

É possível fazer também traduções NAT estáticas com base no IP original, ou IP darede ou no MAC do cliente. É possível também permitir a certos endereçoscontornarem (“by-passarem”) a autenticação do Hotspot Ou seja sem ter de logar



299

contornarem ( by-passarem ) a autenticação do Hotspot. Ou seja sem ter de logarna rede inicialmente. Também é possível bloquear endereços

continua…

IP Bindings

MAC Address: mac original do cliente

Address: endereço IP configurado no cliente (ou rede)

To Address: endereço IP para o qual o original deve ser traduzido.

Type: Tipo de Binding Regular: faz uma tradução 1:1 regular



300

Bypassed: faz a tradução mas dispensa o cliente de logar no Hotspot Blocked: a tradução não será feita e todos os pacotes serão descartados.

Hotspot Ports

A facilidade de NAT e NAT 1:1 do Hotspot causa problemas com alguns protocolosincompatíveis com NAT. Para que esses protocolos funcionem de formaconsistente, devem ser usados os módulos “helpers”

No caso de NAT 1:1 o únco problema é com relação ao módulo de FTP que deveser configurado para usar as portas 20 e 21



301

ser configurado para usar as portas 20 e 21..

Walled Garden

Configurando um Walled Garden ou “Jardim Murado” é possível oferecer ao usuário o acesso adeterminados serviços sem necessidade de autenticação. Por exemplo em um Aeroporto poder-se-ia disponibilizar informações climáticas, horários de voos, etc sem a necessidade do usuário

adquirir créditos para acesso externo.

Quando um usuário não logado no Hotspot requisita um serviço do Walled Garden o gateway nãoo intercepta e, no caso de http, redireciona a reuisição para o destino ou para um proxy.

Para implementar o Walled Garden para requisições http, existe um Web Proxy embarcado noMiktotik, de forma que todas as requisições de usuários não autorizados passem de fato por esseproxy.



302

Observar que o proxy embarcado não tem as funções de fazer cache, pelo menos por ora. Notartambém que esse proxy embarcado faz parte do pacote system e não requer o pacote web-

proxy.

Walled Garden

É importante salientar que o Walled Garden não se destina somente a serviço WEB,mas qualquer serviço que queiramos configurar. Para tanto existem 2 menus distintosque estão acima, sendo que o da esquerda destina-se somente para HTTP e HTTPS e oda direita para outros serviços e protocolos.



303

No terminal o acesso ao primeiro é por /ip hotspot walled-garden e ao segundo /iphotspot walled-garden ip

Walled Garden p/ HTTP e HTTPS

Action: allow ou deny – permite ou nega

Server: Hotspot ou Hostpots para o qual vale esseWalled Garden Src Address: Endereço IP do usuário requisitante. Dst Address: Endereço IP do Web Server Method: método de http

s os : nome e om n o o serv or e es no. Dst Port: porta de destino que o cliente manda asolicitação. Path: caminho da requisição.

OBS:- nos nomes de dominio é necessário o nome completo,podendo ser usados coringas

it õ l d d i i i d



304

- aceita-se expressões regulares devendo ser iniciadascom (:)

Walled Garden p/ outros protocolos

Action: aceita, descarta ou rejeita o pacote Server: Hotspot ou Hostpots para o qual vale esse

Walled Garden Src Address: Endereço IP de origem do usuáriorequisitante. Protocol: Protocolo a ser escolhido da listaDst Port: Porta TCP ou UDP que está sendorequisitadao Dst Host: Nome de domínio do WEB server



305

Hotspot - Cookies

Quando configurado o login por Cookies, estes ficam armazenados no Hotspot,com o nome do usuário, MAC e o tempo de validade.

Enquanto estiverem válidos o usuário não precisa passar o par usuário/senha

Podem ser deletados (-) forçando assim o usuário fazer nova autenticação



306

Personalizando o Hotspot

Páginas do Hotspot

As páginas do Hotspot são totalmente configuráveis e além disso é possível criar conjuntostotalmente diferentes das páginas do Hotspot para vários perfis de usários especificandodiferentes diretórios html raiz ) /ip hotspot profile html-directory.

Principais páginas que são mostradas aos usuários:

redirect.html – redireciona o usuário a uma página específica login.html – Página de login que pede ao usuário o login e senha. Esta página tem osseguintes parametros:

• username / password• dst – URL original que o usuário solicitou antes do redirecionamento (seráaberta após o login com sucesso)• popup – se será aberto uma janela de pop-up quando o usuário se logar com



307

p p p j p p p q gsucesso.

Personalizando o Hotspot

Páginas do Hotspot

As páginas do Hotspot são totalmente configuráveis e podem sereditadas em qualquer editor html, sendo depois atualizadas nomikrotik.

É possível criar conjuntos totalmente diferentes de páginas doHotspot para vários perfis de usários especificando diferentesdiretórios html raiz ) /ip hotspot profile html-directory.

Essa possibilidade, associada a criação de AP’s virtuais possibilitaque em uma mesma área pública o detentor da infraestruturapossa fornecer serviço a vários operadores, utilizando os mesmos

i



308

equipamentos.

Hotspot com https

Criar o certificado em uma máquina Unix com o Script:

#!/bin/sh

SERVER=hotspot.mikrotikbrasil.com.br PRIVATE_KEY=$SERVER.key

CERTIFICATE_FILE=$SERVER

VALID_DAYS=1095

openssl genrsa -des3 -out $PRIVATE_KEY 1024

openssl req -new -x509 -days $VALID_DAYS -key $PRIVATE_KEY -out$CERTIFICATE FILE



309

$CERTIFICATE_FILE

Importar o Certificado em / certificate import

Dúvidas ??



310



User Manager

O que é o User Manager ?

É um sistema de gerenciamento de usuários que pode ser utilizado para controlar

Usuários PPP (PPtP e PPPoE) Usuários DHCP Usuários Wireless em Geral

Usuários do sistema RouterOS em si



312

User Manager

Como implementar

Fazer o download do pacote / FTP para o Router / Reboot

Criar o primeiro “subscriber” (somente no terminal)[admin@MikrotikBrasil] tool user-manager customer> add login="admin"password=“1234" permissions=owner

Logar via WEB com o usuário e senhas criados acima em:

http://IP do Router/userman



313

http://IP_do_Router/userman

User Manager - Conceitos

Customers, Subscribers e Users

Customers são os provedores de serviço. Eles tem acesso à interfaceWEB para manipular os usuários (users) créditos e roteadores.

Um Subscriber é um Customer com permissões de “dono”

Os Subscribers tem conhecimento de tudo que acontece com seus sub-customers, créditos, usuários, roteadores, sessões, etc. No entanto umsubscriber não tem acesso aos dados de outros subscribers.



314

Users são os pobres mortais que usam os serviços oferecidos pelos

Customers

User Manager – Algumas características

Cada Subscriber pode criar vários Customers, personalizando telas de login para osusuários, permissões que os Customers tem, Modelos de “Voucher”, etc

Voucher é o cartão de login/senha que pode ser gerado em lote para o atendimento de um Hotel, por exemplo

É possível implementar esquemas de criação de login pelo usuário com pagamento porcartão de crédito via PayPal ou Autorize.net

É possível configurar na mesma máquina o User Manager e o Hotspot, possibilitandouma solução única para prestar serviço em Hotel com uma máquina rodando Mikrotikapenas.



315

Exemplo de implementação de UserManager com Hotspot

No Router:/ ip hotspot profile set hsprof1 use-radius=yes/ radius add service=hotspot address=x.x.x.x secret=123456

No User Manager:

" " “ " -permissions=owner/ tool user-manager router add subscriber=MikrotikBrasil ip-address=10.5.50.1 shared-secret=123456/ tool user-manager user add username=demo password=demo subscriber=MikrotikBrasil

No caso, para usar somente uma máquina, basta apontar o mesmo IP x.x.x.x que ela seráo Hotspot e ao mesmo tempo o User Manager



316

Em seguida pode-se criar planos e senhas em batch, fornecendo-as ao Hotel, depreferencia gerenciadas por algum aplicativo simples em Windows.

Dúvidas ??



317317

RoteamentoMikrotik RouterOS suporta dois tipos de roteamento:

Roteamento Estático: As rotas criadas pelo usuário através de inserção

de rotas pré definidas em função da topologia da rede

Roteamento Dinâmico: As rotas são geradas automáticamente através dealgum agregado de endereçamento IP ou por protocolos de roteamento

O Mikrotik suporta ECMP - Equal Cost Multipath Routing (Roteamento pormulticaminhos com mesmo Custo), que é um mecanismo que permite rotear pacotesatravés de vários links e permite balanceamento de carga.

É



318

É possível ainda no Mikrotik se estabelecer Políticas de Roteamento (Policy Routing)dando tratamento diferenciado a vários tipos de fluxo a critério do adminstrador.

ECMP

Este mecanismo de roteamento habilita o roteamento de pacotes em vários links comcusto igual, assegurando um certo balanceamento de carga. Com ECMP podem serusados mais de um gateway para um destino.

Com ECMP habilitado um novo gateway é escolhido para cada novo par de IP’sorigem/destino. Por exemplo uma conexão FTP é aberta para um servidor usará umlink, enquanto que uma segunda conexão para outro servidor usará o próximo link.

As rotas ECMP podem ser criadas por protocolos de roteamento (RIP ou OSPF) ouadicionando uma rota estática com múltiplos gateways separados por vírgula. Otráfego pode ser ponderado entre links diferentes usando o mesmo gateway mais deuma vêz. Por exemplo, se temos um link de 1 mega e outro de dois megas e queremosque os pacotes saiam nessa proporção, declaramos o gateway de 2 megas duas



319

q p p p ç , g y gvezes.

ECMP

- ECMP não significa redundância, pois não cuida do estado dos links.

- ECMP não é um protocolo voltado à conexão, o que pode significar problemas de .

Para que o ECMP seja habilitado basta adicionar vários gateways para a mesma rota,por exemplo:

/ip route add gateway=192.168.0.1, 192.168.1.1, 192.168.1.1No exemplo acima, indiretamente o gateway 192.168.1.1 terá “peso 2”, ou seja de 3pacotes, 1 irá pelo primeiro link e dois pelo segundo.



320

Exemplo de ECMP

Temos que rotear os pacotes da rede192.168.0.0/24 por dois links distintos:

- 10.1.0.1 de 2 mbps

- 10.1.1.1 de 4 mbps

A solução para “balancear” o link é configurar um

gateway com o primeiro link e dois com o segundo.

/ip route add gateway=10.1.0.1, 10.1.1.1, 10.1.1.1



321

Exemplo de ECMP

Temos que rotear os pacotes da rede192.168.0.0/24 por dois links distintos:

- 10.1.0.1 de 2 mbps No Winbox :

- 10.1.1.1 de 4 mbps

A solução para “balancear” o link é configurar um

gateway com o primeiro link e dois com o segundo.

/ip route add gateway=10.1.0.1, 10.1.1.1, 10.1.1.1



322

Políticas de RoteamentoExistem algumas regras que devem ser seguidas para se estabelecer uma política deroteamento:

As políticas podem ser por marca de pacotes, por classes de endereços Ip e portas.

A marca dos pacotes deve ser adicionada no Firewall, no módulo Mangle comrouting-mark

Aos pacotes marcados será aplicada uma política de roteamento, dirigindo-os paraum determinado gateway.

É possivel utilizar política de roteamento quando se utiliza mascaramento (NAT)



323

Políticas de RoteamentoObservações Importantes:

Uma aplicação típica de Políticas de Roteamento é trabalhar com dois links

direcionando parte do tráfego por um e parte por outro. Por exemplo a canalização deaplicações peer-to-peer por um link “menos nobre”

É impossível porém reconhecer o tráfego peer-to-peer do a partir do primeiro pacote,mas tão somente após as conexões estabelecidas, o que impede o funcionamento dos

programas P2P em caso de NAT de origem.

A estratégia nesse caso é colocar como gateway default o link “menos nobre”, marcaro tráfego conhecido e “nobre” ( HTTP, DNS, POP3, SMTP, etc) e desvia-lo para o link“nobre”. Todas as outras aplicações, incluido o P2P, irão para o link “não nobre”.



324

p ç , , p

Exemplo de Política de Roteamento

Na situação normal queremos que a rede:

192.168.0.0/24 use o atewa GW 1 _ 192.168.1.0/24, use o gateway GW_2

No caso de falha aos pings do GW_1 oudo GW_2, queremos automáticamente

rotear para o GW_Backup.



325

Exemplo de Política de Roteamento

1. Marcar pacotes da rede 192.168.0.0/24 com new-routing-mark=net1, e pacotes da rede

- - =. . .ip firewall mangle> add src-address=192.168.0.0/24 action=mark-routing new-routing-mark=net1chain=preroutingip firewall mangle> add src-address=192.168.1.0/24 action=mark-routing new-routing-mark=net2chain=prerouting

2. Rotear os pacotes da rede 192.168.0.0/24 para o gateway GW_1 (10.0.0.2), pacotes da rede192.168.1.0/24 para o gateway GW_2 (10.0.0.3), usando as correspondentes marcas de pacotes.Se GW_1 ou GW_2 falharem ( não responder a pings), rotear para GW_Backup (10.0.0.1):

i t > dd t 10 0 0 2 ti k t1 h k t i



326

ip route> add gateway=10.0.0.2 routing-mark=net1 check-gateway=pingip route> add gateway=10.0.0.3 routing-mark=net2 check-gateway=pingip route> add gateway=10.0.0.1

Exemplo de Política de RoteamentoCom Winbox:



327

Balanceamento

melhorado

com MikrotikAtenção – Os próximos 32 slides são referentes à configuraçao



328De balanceamento na V3 somente

Balanceamento de Carga com NTHConforme pudemos ver até agora existem diversos métodos para se fazerbalanceamento de carga, cada um com suas particularidades.

Um dos problemas que ocorre quando queremos balancear o tráfego utilizando duasou mais operadoras diferentes é com relação ao funcionamento de diversos serviçosdependentes da manutenção conexão, como por exemplo https, serviços demensagens e outros.

O Mikrotik apresenta um atributo no Mangle que auxilia na marcação de pacotes que éo NTH (n-ésimo). O NTH tem o objetivo de encontrar a n-ésimo pacote recebido poruma regra. Seu uso é definido pelos parametros:



329nth ( every, packet )

Balanceamento de Carga com NTHNth ( every, packet )

every: encontra cada pacote de número every. Exemplo, se every = 1, a regraencontrará o primeiro pacote.

packet: a regra encontra o pacote com esse número. Obviamente esse númerodeverá estar entre 1 e every.

Obs: No exemplo a seguir, é necessário a opção Passthrough=YES



330

Balanceamento de Carga com NTH

Exemplo, para balancear 3 links:

= , , ,

- o primeiro pacote encontra a regra 3,1 (por causa do 1).

- o segundo pacote encontra a regra 3,2 (por causa do 2)- o terceiro encontra a regra 3,3 (por causa do 3)

- a cada every+1 o contador é zerado, iniciando o processo novamente.



331

y p

Balanceamento de Carga com NTHPara balancear 2 links:

nth = 2,1 2,2

Para balancear 4 links: nth = 4,1 4,2 4,3 4,4

Para balancear 7 links: nth = 7,1 7,2 7,3 7,4 7,5 7,6 7,7

Para balancear n links: nth = n n-1 n n-2 n n-3 n n-4 n n-5 n n-6 n n-7



332

nth n,n 1 n,n 2 n,n 3 n,n 4 n,n 5 n,n 6 n,n 7


Exemplo para 2 Links

200.200.200.1200.200.200.2

200.200.100.2 200.200.100.1

Internet192.168.0.0/24

/ ip addressadd address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local



333add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1



1 marca-se a conexão no

,interface Local e estado daconexão “new”

2 Marca-se a conexão com

a etiqueta “primeira” e mandapassar adiante

3 Na aba “Extra” marca-seo atributo NTH



334


Exemplo para 2 Links – continuação:

4 no canal prerouting, na Interface

-,que tem a marca “primeira”

5 Toma-se a ação “mark routing”dando-se o nome de “primeira_rota”.Isso significa que todos os pacotespertencentes à conexão “primeira”serão rotulados com a marca deroteamento “primeira_rota” e marcara opção passtrhough.



335


Exemplo para 2 Links –continuação.

6 Faz-se o mesmo para aconexão seguinte, utilizandoagora o atributo NTH = 2,2 ea marca de conexão

“segunda”



336


Exemplo para 2 Links –continuação:

7 Finalizando a etapa demarcação, faz-se o mesmoprocedimento de marcar ospacotes pertencentes à conexão

“segunda” colocando-se a marcade rota “segunda_rota”



337



10 É necessário a ora fazer

as regras de NAT de forma queas conexões marcadas comoprimeira sejam “nateadas pelo IPda WAN1



338



11 Da mesma forma, asconexões marcadas comosegunda devem ser “nateadaspelo endereço IP da WAN2



339



r a-se en o as ro as e auapontando para o primeiro e segundo link,dependendo da marcação recebidapreviamente.

13 Finalmente cria-se uma rota defaultapontando para qualquer um dos links, coma finalidade de mandar os pacotes nãomarcados, no caso o tráfego do próprioroteador.



340

Balanceamento de Carga com NTH, com

conexões persistentes por usuário

Nesse caso, nosso objetivo é fazer o balanceamento entre 2 links, mas forçando que asconexões dos mesmos usuários saiam sempre pelo mesmo link.

Fazemos isso, utilizando a técnica do NTH combinada com as Address Lists doFirewall.

1 Adicionamos duas Address List’s no Firewall



341



2 Fazemos agora com que todas as conexões novas oriundas dosusuários contidos na Lista_1 sejam marcadas com a marca “primeira” e

em seguida fazemos com que os pacotes dessa conexões recebam amarca de rota “primeira_rota”



342

Balanceamento de Carga com NTH, comconexões persistentes por usuário

Regra 1



343


Regra 2



344



3 O mesmo fazemos agora para as conexões novas oriundas dosusuários contidos na Lista_2.Marcamos as conexões com a marca “segunda” e em seguida fazemoscom que os pacotes dessa conexões recebam a marca de rota“segunda_rota”



345


Regra 3



346


Regra 4



347


Fazemos agora asmarcações, desta vêzutilizando o NTH.

Nestas regras irão passartodos os clientes que nãoestiverem já inscritos emlistas.

Regra 5



348


Agora, os usuários que forammarcados com uma marca deconexão específica, são inscritos

.

No caso, primeira Lista_1

Regra 6



349


primeira, marca-se a rotaprimeira_rota

Regra 7



350


Repetimos tudo de novoutilizando no entanto o NTH =2,2

Regra 8



351


Adiciona-se agora os usuários na

352

Lista_2

Regra 9



352


353

Regra 10



353


Regra 11

354

-de NAT de forma que asconexões marcadas comoprimeira sejam “nateadas pelo IPda WAN1



354


Regra 12

355

O mesmo para as conexõesmarcadas como segunda, quedevem ser “nateadas peloendereço IP da WAN2



355



356

13 Cria-se então as rotas defaultapontando para o primeiro e segundolink, dependendo da marcaçãorecebida previamente.

14 Finalmente cria-se uma rotadefault apontando para qualquer umdos links, com a finalidade de mandaros pacotes não marcados.



356

Balanceamento de Carga com NTH, utilizando

links de velocidades diferentes

Quando temos vários links de velocidades diferentes e queremos balancea-los de formaponderada podemos faze-lo utilizando a seguinte lógica:

357

Somamos os valores das velocidades de todos os links.

Dividimos o valor encontrado pela velocidade do menor link

O valor encontrado menos 1 será o valor de every.

O valor de packet irá variar de zero até esse valor encontrado menos 1



357


links de velocidades diferentesExemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancea-los:

358

o a a an a = + + + =Equivalencia de link = 4608/512 = 9 (é como se tivéssemos 9 links de 512kbps)

Escolhemos os seguintes valores de NTH: 9,1 9,2 9,3 9,4 9,5 9,6 9,7 9,8 9,9

Seguindo a mesma lógica do que foi feito para dois links, no mangle, marcamos as conexões erotas de 1 a 8.

Promovemos então o balanceamento direcionando 1 conexão para o link1, 2 para o link2, 2 parao link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexões.



358

Dúvidas ??

359



Balanceamento

360

melhorado

com MikrotikAtenção – Os próximos 32 slides são referentes à configuraçao

De balanceamento na V2.9 somente !!



Balanceamento de Carga com NTHConforme pudemos ver até agora existem diversos métodos para se fazerbalanceamento de carga, cada um com suas particularidades.

361

Um dos problemas que ocorre quando queremos balancear o tráfego utilizando duasou mais operadoras diferentes é com relação ao funcionamento de diversos serviçosdependentes da manutenção conexão, como por exemplo https, serviços demensagens e outros.

O Mikrotik apresenta um atributo no Mangle que auxilia na marcação de pacotes que éo NTH (n-ésimo). O NTH tem o objetivo de encontrar a n-ésimo pacote recebido poruma regra. Seu uso é definido pelos parametros:

nth ( every, counter, packet )



Balanceamento de Carga com NTHNth ( every, counter, packet )

362

every: encontra cada pacote de número every+1. Exemplo, se every = 1, a regraencontrará o segundo pacote.

counter: especifica qual contador utilizar. É um número aleatório que deve serescolhido de 0 a 15, devendo ser o mesmo para um grupo que se queira balancear.

packet: a regra encontra o pacote com esse número. Obviamente esse númerodeverá estar entre 0 e every.




Exemplo, para balancear 3 links:

=

363

, , , , , ,- o primeiro pacote encontra a regra 2,3,0 (por causa do 0).

- o segundo pacote encontra a regra 2,3,1 (por causa do 1)

- o terceiro encontra a regra 2,3,2 (por causa do 2)

- a cada every+1 o contador é zerado, iniciando o processo novamente.




Para balancear 2 links:

364

nth = 1,2,0 1,2,1

Para balancear 4 links: nth = 3,3,0 3,3,1 3,3,2 3,3,3

Para balancear 7 links: nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6




Para balancear 2 links:

365

nth = 1,2,0 1,2,1

Para balancear 4 links: nth = 3,3,0 3,3,1 3,3,2 3,3,3

Para balancear 7 links: nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6




Exemplo para 2 Links200.200.200.1

200.200.200.2

366

200.200.100.2 200.200.100.1

Internet192.168.0.0/24

/ ip addressadd address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Localadd address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1





1 marca-se a conexão no

367

,interface Local e estado daconexão “new”

2 Marca-se a conexão com

a etiqueta “primeira” e mandapassar adiante

3 Na aba “Extra” marca-seo atributo NTH





4 no canal prerouting, na Interface-

368

,que tem a marca “primeira”

5 Toma-se a ação “mark routing”dando-se o nome de “primeira_rota”.Isso significa que todos os pacotes

pertencentes à conexão “primeira”serão rotulados com a marca deroteamento “primeira_rota” Não seusa passtrhough pois a ação já foitomada e esse pacote para de serexaminado.




Exemplo para 2 Links –continuação.

369

6 Faz-se o mesmo para aconexão seguinte, utilizandoagora o atributo NTH = 1,1,1e a marca de conexão

“segunda”





370

7 Finalizando a etapa demarcação, faz-se o mesmoprocedimento de marcar ospacotes pertencentes à conexão“segunda” colocando-se a marcade rota “segunda_rota”





10 É necessário a ora fazer

371

as regras de NAT de forma queas conexões marcadas comoprimeira sejam “nateadas pelo IPda WAN1





372

11 Da mesma forma, asconexões marcadas comosegunda devem ser “nateadaspelo endereço IP da WAN2





373

r a-se en o as ro as e auapontando para o primeiro e segundo link,dependendo da marcação recebidapreviamente.

13 Finalmente cria-se uma rota default

apontando para qualquer um dos links, coma finalidade de mandar os pacotes nãomarcados, no caso o tráfego do próprioroteador.





Nesse caso, nosso objetivo é fazer o balanceamento entre 2 links, mas forçando que asconexões dos mesmos usuários saiam sempre pelo mesmo link.

374

Fazemos isso, utilizando a técnica do NTH combinada com as Address Lists doFirewall.

1 Adicionamos duas Address List’s no Firewall





375

2 Fazemos agora com que todas as conexões novas oriundas dosusuários contidos na Lista_1 sejam marcadas com a marca “primeira” eem seguida fazemos com que os pacotes dessa conexões recebam amarca de rota “primeira_rota”




376

Regra 1




377

Regra 2





378

3 O mesmo fazemos agora para as conexões novas oriundas dosusuários contidos na Lista_2.Marcamos as conexões com a marca “segunda” e em seguida fazemos

com que os pacotes dessa conexões recebam a marca de rota“segunda_rota”




379

Regra 3




380

Regra 4




Fazemos agora asmarcações, desta vêzutilizando o NTH.

381

Nestas regras irão passartodos os clientes que nãoestiverem já inscritos emlistas.

Regra 5




Agora, os usuários que forammarcados com uma marca deconexão específica, são inscritos

382

.

No caso, primeira Lista_1

Regra 6




383

primeira, marca-se a rotaprimeira_rota

Regra 7




384

Repetimos tudo de novoutilizando no entanto o NTH =1,1,1

Regra 8




385

Adiciona-se agora os usuários naLista_2

Regra 9




386

Regra 10




Regra 11

387

-de NAT de forma que asconexões marcadas comoprimeira sejam “nateadas pelo IPda WAN1




Regra 12

388

O mesmo para as conexõesmarcadas como segunda, quedevem ser “nateadas peloendereço IP da WAN2





389

13 Cria-se então as rotas defaultapontando para o primeiro e segundolink, dependendo da marcaçãorecebida previamente.

14 Finalmente cria-se uma rotadefault apontando para qualquer umdos links, com a finalidade de mandaros pacotes não marcados.




links de velocidades diferentes

Quando temos vários links de velocidades diferentes e queremos balancea-los de formaponderada podemos faze-lo utilizando a seguinte lógica:

390

Somamos os valores das velocidades de todos os links.

Dividimos o valor encontrado pela velocidade do menor link

O valor encontrado menos 1 será o valor de every.

O valor de packet irá variar de zero até esse valor encontrado menos 1




links de velocidades diferentesExemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancea-los:

391

o a a an a = + + + =Equivalencia de link = 4608/512 = 9 (é como se tivéssemos 9 links de 512kbps)

Escolhemos os seguintes valores de NTH: 8,1,0 ; 8,1,1 ; 8,1,2 ; 8,1,3 ; 8,1,4 ; 8,1,5 ; 8,1,6 ; 8,1,7,8,1,8

Seguindo a mesma lógica do que foi feito para dois links, no mangle, marcamos as conexões erotas de 1 a 8.

Promovemos então o balanceamento direcionando 1 conexão para o link1, 2 para o link2, 2 parao link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexões.



Dúvidas ??

392



Roteamento DinâmicoO Mikrotik RouterOS suporta os seguintes protocolos de roteamento:

RIP versão 1 e RIP versão 2 OSPF versão 2

393

BGP versão 4

- Versões em desenvolvimento do Mikrotik dão suporte a versões mais recentesdesses protocolos, mas ainda em fase beta.

- O uso de roteamento dinamico permite implementar redundância e balanceamento decarga de forma automática e é uma forma de se fazer uma rede semelhante às redesconhecidas como Mesh, porém de forma estática.



Roteamento BGP

O protocolo BGP (Border Gateway Protocol) é destinado a fazer comunicação entre

394

u onomous ys ems eren es, po en o ser cons era o como o coraç o a n erne .O BGP mantém uma tabela de “prefixos” de rotas contendo as informações de“encontrabilidade” de redes (NLRI – Network Layer Reachbility Information) entre os AS’s.

Ao contrário de outros protocolos, o BGP não se utiliza de métricas para encontrar o melhorcaminho, mas sim de políticas administrativas.

A versão corrente do BGP é a versão 4, especificada na RFC 1771.



BGP - Settings

AS: número do Autonomous System Number atribuido por uma entidade que gerencia esses números(No caso da América Latina, a LACNIC). Os números AS vão de 1 a 65356

395

Router ID: string de identificação do Roteador, na forma de um número IP Redistribute Connected: Se o roteador deve distribuir as rotas a ele conectadas diretamente

Redistribute Static: Se o roteador deve distribuir as rotas estáticas nele configuradas.

Redistribute RIP: Se deve distribuir as rotas “aprendidas” por RIP

Redistribute OSPF: Se deve distribuir as rotas aprendidas por OSPF



BGP - Peer

É necessário especificar pelo menos um Peer com o qual se quer trocar informaçõesde roteamento, sendo que para a troca acontecer uma conexão TCP tem que serestabelecida (porta179)

396

Remote AS: número do AS remoto

Multihop: Caso habilitada, essa opção permite sessões BGP mesmo emsegmentos não diretamente conectados. Porém a sessão não será estabelecida caso

a única rota para o endereço do Peer seja a rota default 0.0.0.0/0

Route Reflect: route reflect é uma técnica para evitar que um roteador de um AStenha que repassar as tabelas de roteamento para todos os roteadores internos aoAS permitindo que o que receber passe adiante, sem necessidade de um esquema“full mesh” (http://www.faqs.org/rfcs/rfc2796.html



BGP - Peer

397

Prefix List In: Nome da lista de prefixo para filtragem de pacotes entrantes.

Prefix List Out: Nome da lista de prefixo para filtragem de pacotes entrantes“saintes”.

State: Mostra o estado do BGP

Route Received: número de rotas recebidas de outros Peer’s BGP



Prefix List

As listas de Prefixo podem ser adicionadas ao roteador com a opção/routing prefix-list add para que sejam usadas posteriormente pelosprotocolos Rip ou pelo BGP

398

Prefix List: Nome dado à lista de prefixo

Prefixo: identificador da rede em forma de IP

Prefix Length: tamanho do prefixo

Action: Ação à ser tomada



OSPF

O protocolo Open Shortest Path First (Abra primeiro o caminho mais curto) é umprotocolo do tipo “link-state”. Ele usa o algorítimo de Dijkstra para calcular o caminhomais curto para todos os destinos.

399

O OSPF distribui informações de roteamento entre os roteadores que participem de ummesmo AS ( Autonomous System) e que tenham obviamente o protocolo OSPFhabillitado.

Para que isso aconteça todos os roteadores tem de ser configurados de uma maneira

coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocoloOSPF.

O protocolo OSPF é iniciado depois que é adicionado um registro na lista de redes. Asrotas são “aprendidas” e instaladas nas tabelas de roteamento dos roteadores.

artigo da Cisco sobre OSPF: http://www.cisco.com/warp/public/104/1.html#t3



Tipos de roteadores em OSPF

O OSPF define 3 tipos de roteadores: Roteadores internos a uma área

400

Roteadores de backbone (dentro da área 0) Roteadores de borda de área (ABR)Roteadores ABR ficam entre 2 áreas e deve “tocar” a área 0

Roteadores de borda com Autonomous System São os roteadores que participam do OSPF mas fazem acomunicação com um AS



OSPFSettings

401

Router ID: IP do roteador. Caso não especificado o roteador utiliza o maior endereço IP que existana interface.

Redistribute Default Route: Especifica como deve ser distribuida a rota default never: nunca distribui

if installed (as type 1): envia (com métrica 1) se tiver sido instalada como rotaestática ou adicionada por DHCP ou PPP if installed (as type 2): envia (com métrica 2) se tiver sido instalada como rotaestática ou adicionada por DHCP ou PPP always (as type 1): sempre, com métrica 1

always (as type 2): sempre, com métrica 2



OSPF Settings

402

Redistribute Connected Routes: Caso habilitado, o roteador irá redistribuir todas as rotasrelativas a redes que estejam diretamente conectadas a ele (sejam alcançáveis)

Redistribute Static Routes: Caso habilitado, distribui as rotas estáticas cadastradas em/ip route

Redistribute RIP: Caso habilitado, redistribui as rotas “aprendidas’ por RIP

Redistribute BGP: Caso habilitado, redistribui as rotas “aprendidas’ por BGP

Na aba Metrics, é possivel mudar o custo que serão exportadas as diversas rotas



Áreas de OSPFO protocolo OSPF permite que vários roteadoressejam agrupados entre si. Cada grupo formado échamado de área e cada área roda uma cópia doalgorítimo básico, e que cada área tem sua própriabase de dados do estado de seus roteadores.

A divisão em áreas é importante pois como a

403

participantes desta, o tráfego é sensivelmentereduzido.

É aconselhável utilizar no máximo 60 a 80roteadores em cada área..

Acessa-se as opções de área em / routing ospfarea



Áreas “Stub” em OSPFÁreas “Stub”

O OSPF permite que certas áreas sejam configuradas como

áreas do tipo “stub” ( áreas de topo )

Redes externas, cujas rotas são redistribuidas de outrosprotocolos para dentro do OSPF, não podem ser propagadasem uma área definida como “stub”.

404

O roteamento a partir dessas áreas para o mundo exterior éobrigatoriamente baseada em uma rota default.

A configuração de uma área como Stub, reduz as bases dedados que o OSPF precisa manter, exigindo

consequentemente menos requisitos de memória dosroteadores dessas áreas.

Mais detalhes em:http://www.cisco.com/warp/public/104/1.html#t31



Áreas “NSSA” em OSPF

Áreas “NSSA”

A área chamada NSSA – “not-so-stubby area”, que pode ser traduzida por “área não assim tão stub”,ou “stub, ero no mucho”☺ de acordo com a RFC 1587 é uma modifica ão no conceito de área stub

405

que permite a injeção de rotas externas de uma forma controlada.A redistribuição de rotas dentro de uma NSSA cria um tipo de anúncio de estado de link (LSA)chamado como tipo 7, que só pode existir em uma área NSSA, não podendo ser propagado pelodominio todo do OSPF. Para que anúncios sejam propagáveis no domínio OSPF é necessário queeles sejam do tipo 5.

Um roteador de borda, que faz a comunicação entre um NSSA e outras áreas pode ou não propagaresses anúncios, dependendo de estar ou não configurado como “tradutor” do tipo 7 para o tipo 5.

Continua…



Áreas “NSSA” em OSPF

No diagrama acima, se a área 1 é definida como uma área stub, as rotas IGRP não podemser propagadas para dentro do domínio do OSPF porque áreas stub não permitem apropagação de rotas externas.

406

Porém se definirmos a área 1 como NSSA, as rotas IGRP poderão adentrar o OSPF eentrarão como do tipo 7, sendo propagadas para as outras áreas somente se a política doroteador de borda (NSSA ABR) assim permitir ( e propagará como tipo 5)

Por outro lado as rotas RIP que entram na área 2 não serão permitidas na área 1. ÁreasNSSA não permitem anúncios do tipo 5, agindo nesse caso como “stub’s”.

Mais detalhes em: http://www.cisco.com/warp/public/104/nssa.html#intro



Áreas de OSPF

- Name: nome a ser dado à Área- Área ID: IP identificador da área. A área defoult com IP 0.0.0.0é a área de backbone. O Backbone OSPF sempre contemtodos os roteadores de borda das outras áreas, sendo o

407

responsável por distribuir informações de roteamento à elas.Todas áreas tem de “tocar” logicamente o backbone, podendoser por um link virtual.



Áreas de OSPF

-Type: tipo da área stub: área configurada como “stub” nssa: área configurada como “nssa”

408

-Translator Role: translate never: nunca faz a tradução dotipo 7 para tipo 5. translate always: faz sempre translate candidate: pode ou não fazer a tradução

Maiores informações no artigohttp://www.cisco.com/warp/public/104/nssa.html#intro



Rede OSPF

Define-se aqui a Rede OSPF, com os seguintesparametros:

409

- Área: Área do OSPF associada

- Network: Endereço IP/Máscara, associado. Permite

definir uma ou mais interfaces associadas a umaárea. Somente redes conectadas diretamente podemser adicionadas aqui.



OSPF - Interface

Para simplesmente rodar o OSPF, não é necessário qualquerconfiguração da Interface. Essa facilidade existe no RouterOSpara um refino mais aprofundado das propriedades do OSPF. Interface: Interface onde vai rodar o OSPF

410

Cost: custo da Interface (métrica) Priority: roteadores com esse valor mais alto terão prioridadesobre outros authentication key: senha de autenticação (texto) caso osroteadores estejam usando autenticação.

Network Type: tipo da rede ponto a ponto multiponto Broadcast: tipicamente Ethernet nbma (non broadcast multiple address): tipicamente Frame-

Relay e X25



OSPF - Interface

Retransmit Interval: tempo entre anuncios de perda de link.Quando um roteador manda um anuncio de estado de link (LSA)para seu vizinho, ele mantes o LSA até que receba de volta aconfirmação (acknowledgment). Caso não receba em tempo,retransmite o LSA. O valor recomendado para redes Broadcast

411

segun os e para pon o a pon o segun os. Transmit Delay: intervalo de tempo para transmissão deLSA. Hello Interval: Intervalo de tempo entre os pacotes “hello”que o roteador manda na interface. Quanto menor o intervalohello, mais rápidas serão detectadas as modificações natopologia da rede, com o consequente aumento do tráfego. Estevalor obrigatoriamente deve ser o mesmo em cada adjacencia. Router Dead Interval: Especifica o intervalo de tempo apóso qual um vizinho é considerado “morto”. O intervalo éanunciado nos pacotes hello e seu valor tem de serobrigatoriamente o mesmo para todos os roteadores da rede.



OSPF – Virtual Link

Conforme estabelecido na RFC do OSPF, a área de backbonedeve ser contígua. No entanto é possível definir áreas de formaque o backbone não seja contíguo, porém com a conectividadeassegurada por links virtuais.Os links virtuais odem ser confi urados entre dois roteadores

412

através de uma área comum chamada de área transito, sendoque uma das áreas interligadas deve tocar fisicamente obackbone.O protocolo trata dois roteadores ligados por um link virtualcomo se estivessem ligados por uma rede ponto a ponto nãonumerada.Os parametros de configuração são:Neighbor ID: IP do roteador vizinho Transit Area; Área de transito

OBS: não é possivel fazer links virtuais entre áreas “stub”



OSPF – Neighbors

413

Conforme estabelecido na RFC do OSPF, a área de backbone deve ser contígua. No entanto é possível definir áreas deforma que o backbone não seja contíguo, porém com a conectividade assegurada por links virtuais.Os links virtuais podem ser configurados entre dois roteadores através de uma área comum chamada de área transito,sendo que uma das áreas interligadas deve tocar fisicamente o backbone.

O protocolo trata dois roteadores ligados por um link virtual como se estivessem ligados por uma rede ponto a ponto nãonumerada.Os parametros de configuração são:Neighbor ID: IP do roteador vizinho Transit Area; Área de transito

OBS: não é possivel fazer links virtuais entre áreas “stub”



OSPF

414



OSPF

415



OSPF

416



OSPF

417



Dúvidas ??

418



Dúvidas ??

419



420420

-



WEB - Proxy

O Web Proxy possibilita o armazenamento de objetos Internet (dados disponíveis viaprotocolos HTTP e FTP) em um sistema local.

Navegadores Internet usando web-proxy podem acelerar o acesso e reduzir o consumo de

421421

.

Quando configurar o Web proxy, certifique-se que apenas os clientes da rede local utilizarãoo mesmo, pois uma configuração aberta permitirá o acesso externo, trazendo problemas

graves de segurança.

Com o Web Proxy é possível criar filtros de acesso a conteúdo indesejável, tornando anavegação mais segura aos clientes.

Um web proxy em execução, mesmo sem cache, pode ser útil como um firewall HTTP e



O MikroTik RouterOS implementa um web-proxy com as seguintes características: HTTP proxy Transparent proxy. Onde é transparente e HTPP ao mesmo tempo

WEB - Proxy

422422

s a e cesso por or gem, es no, e m o os e requ s ç o Lista de Acesso Cache (especifica os objetos que poderão ou não ser

“cacheados”) Lista de Acesso Direto (especifica quais recursos deverão ser acessados

diretamente - através de outro web-proxy)

Sistema de Logging



Web-Proxy configurado para 10 GiB de cache, escutando na porta 8080:• Clear Cache – Serve para esvaziar o cachearmazenado (dependendo do tamaho do cache

esta opção poderá ser bastante lenta).

• Enable – Utilizado para habilitar ou desabilitar oweb-proxy.

WEB - Proxy

423423

• Src.Address - poderá ficar em branco. Em casode uma hierarquia de proxy, este será o endereçoIP utilizado pelo protocolo ICP. O src.addressquando deixado em branco (0.0.0.0/0) será

automaticamente configurado pela tabela deroteamento.



• Port - A porta onde o web-proxy escutará.

• Parent Proxy - Utilizado para indicar o IP de um servidor proxy “pai” numa hierarquia deproxy.

• Parent Prox Port - A orta ue o arent rox “escuta”.

WEB - Proxy

424424

• Cache Administrator - Um nome ou endereço de e-mail para exibição no caso de avisosemitidos aos clientes.

• Max. Cache Size - Tamanho máximo em kiBytes que o cache atingirá.

• Cache on Disk - Habilita o proxy a armazenar o cache em disco. Caso fique desabilitadoo armazenamento será na RAM (Random Access Memory).



• Max Client Connections - número máximo de conexões simultâneas de clientes permitidasno proxy. Após antigido o limite configurado todas as novas conexões serão rejeitadas.

• Max Server Connections - número máximo de conexões simultâneas do proxy paraservidores externos. Todas as novas conexões serão colocadas em espera até quealgumas das conexões ativas sejam encerradas.

WEB - Proxy

425425

• ax res me: um m e m x mo e quan o empo o e os sem um ermo exp c o e

validade serão consideradas atuais (depois de quanto o tempo o proxy deverá realizar umanova consulta e atualizar os objetos).

• Serialize Connections: Não habilitar múltiplas conexões ao servidor para múltiplasconexões do cliente, quando possível (servidor suportar conexões HTTP persistentes). Osclientes serão atendidos em princípio pelo método FIFO; o próximo cliente é processadoquando a transferência para a sessão anterior for concluída. Se um cliente está inativo por algum tempo (no máximo 5 segundos, por padrão), o servidor irá interromper a conexão eabrir outra.



• Always From Cache - ignorar pedidos de atualização dos clientes, caso o conteúdo sejaconsiderado atual.

• Cache Hit DSCP (TOS) - Marca automaticamente hits do cache com o valor DSCPconfigurado.

• Cache Drive - exibe o disco que está em uso para o armazenamento dos objetos em

WEB - Proxy

426426

cac e. ara con gurar o sco necess r o acessar o menu ores.

•OBSERVAÇÃO:

O web proxy escuta todos os endereços IP que estão configurados no servidor.



WEB - Proxy

Stores

Submenu:/stores

Com esta opção podemos gerenciar a mídiaonde será armazenado os objetos do cache.

427

• Possível adicionar mais de 1 disco.• Copiar o conteúdo de um disco para outro.

• Realizar checagen do disco paraverificação de bad blocks.

• Realizar formatação do disco, desde quenão seja onde o sistema está instalado.



Monitorando o Web-Proxy

• Uptime - o tempo transcorrido desde que oproxy foi ativado.

• Requests - total de requisições dos clientes aoproxy.

• Hits - número de requisições dos clientesatendidas diretamente do cache, pelo proxy.

WEB - Proxy

428428

• Cache Used – a quantidade do disco (ou da RAM se o cache é armazenado apenas namesma) utilizada pelo cache.

• RAM Cache Used – quantidade da RAM utilizada pelo cache.

• Total RAM Used - a quantidade da RAM utilizada pelo proxy (excluindo tamanho da RAMCache).



• Received From Servers - quantidade de dados, em kiBytes,recebidos de servidores externos

• Sent To Clients - quantidade de dados, em kiBytes, enviadoaos clientes.

• Hits Sent To Clients - quantidade, em kiBytes, de cache hitsenviado aos clientes.

WEB - ProxyMonitorando o Web-Proxy

429429

Barra de Status – Exibe informações do estado do web proxy• stopped - proxy está desabilitado e inativo

• running - proxy está habilitado e ativo

• formatting-disk - o disco do cache está sendo formatado• checking-disk - checando o disco que contêm o cache para corrigir erros e inconsistências

do mesmo.

• invalid-address - proxy está habilitado, mas não está ativo, porque o endereço IP é inválido(deverá ser alterado o endereço IP ou porta)



WEB - ProxyMonitorando o Web-ProxyLista de Conexões

Submenu: /ip proxy connections

Descrição

Este menu contem uma lista das conexões ativas do proxy

430

Descrição das Propriedadesdst-address – endereço IP que os dados passaram através do proxy

protocol - nome do protocolo

rx-bytes - quantidade de bytes recebidos remotamentesrc-address - endereço IP das conexões remotas



WEB - ProxyMonitorando o Web-ProxyLista de Conexões

State

idle - esperando próximo clienteresolving - resolvendo nome DNS

rx-body - recebendo quadro HTTP

431

rx-header - recebendo cabeçalho; ou esperando próxima requisição do clientetx-body - transmitindo quadro HTTP

tx-header - transmitindo cabeçalho HTTP

tx-bytes - quantidade de bytes enviados remotamente



Access ListSubmenu: /ip proxy access

A Lista de Acesso é configurada da mesmaforma que as regras de firewall. As regrassão processadas de cima para baixo. Oprimeiro “matching” da regra especifica a

tomada de decisão para a conexão. Existeum total de 6 classificadores para

WEB - Proxy

432432

especificar a regra.

Descrição das propriedades

• src-address - endereço IP de origem dopacote.

• dst-address - endereço de destino dopacote.

• dst-port (port{1,10}) - uma porta ou umalista de portas para onde o pacote é

destinado.



• local-port (port) - especifica a porta do web-proxy que recebe os pacotes. Este valor devecorresponder a porta que o web-proxy está escutando.

• dst-host (wildcard) - Endereço IP ou nome DNS utilizado para realizar a conexão (podeser apenas uma parte da URL)

• ath wildcard - nome da á ina re uisita dentro do servidor ex. o nome de uma á ina

Access List WEB - Proxy

433433

web ou um documento que está hospedado no servidor)

• method (any | connect | delete | get | head | options | post | put | trace) - Método HTTPusado nas requisições (veja a seção Métodos HTTP no final deste documento).

• action (allow | deny; default: allow) - especifica a ação de negar ou liberar os pacotes queatravessam o web-proxy.



Nota

• Por padrão, é aconselhável configurar uma regra para prevenir requisições nas portas443 e 563 (conexões através de SSL e NEWS).

• As opções dst-host e path, corresponde a uma string completa (ex.: não existirá um“matchin ” ara "exam le.com" se for confi urado a enas "exam le" .

Access List WEB - Proxy

434434

• O uso de curingas também é possível: '*' (combina um número qualquer de caracteres)e '? '(combina um caractere qualquer).

• Expressões regulares também são permitidas, e deverão iniciar por 2 pontos (':') como

no exemplo:ip web-proxy access> add url=":\\.mp\[3g\]$" action=deny



Lista de Gerenciamento do Cache

Submenu: /ip proxy cache

A Lista de Gerenciamento do Cache

especifica como as requisições (domínios,servidores, páginas) serão “cacheadas” ounão pelo servidor web-proxy. Esta lista lista

é implementada da mesma forma que a“ ”

WEB - Proxy

435435

.

os objetos se não existir nenhuma regra.


• src-address (IP address/netmask) - IP de origem do pacote.

• dst-address (IP address/netmask) - IP de destino do pacote.

• dst-port (port{1,10}) - uma lista de portas que o pacote é destinado.

• local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor

deverá corresponder a porta que o web-proxy está escutando.




• path (wildcard) - nome da página requisita dentro do servidor (ex. o nome de umapágina web ou um documento que está hospedado no servidor)

• method (any | connect | delete | get | head | options | post | put | trace) - Método HTTP

Lista de Gerenciamento do Cache WEB - Proxy

436436

usa o nas requ s ç es ve a a seç o o os no na es e ocumen o .

• action (allow | deny; default: allow) – especifica a ação a ser tomada quando um“matching” ocorrer.

allow - “cacheia” o objeto de acordo com a regra.deny – não “cacheia” o objeto de acordo com a regra.



Lista de Acesso DiretoSubmenu: /ip proxy direct

Descrição

Quando um Parent Proxy está configurado, épossível passar a conexão ao mesmo ou tentartransmitir a requisição diretamente ao servidor dedestino. A lista de Acesso Direto é configurada da

WEB - Proxy

437

,

exceção do argumento da ação.


• src-address (IP address/netmask) - IP de origem do pacote.

• dst-address (IP address/netmask) - IP de destino do pacote.

• dst-port (port{1,10}) - uma lista de portas que o pacote é destinado.

• local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor

deverá corresponder a porta que o web-proxy está escutando.




• path (wildcard) - nome da página requisita dentro do servidor (ex. o nome de umapágina web ou um documento que está hospedado no servidor)

Lista de Acesso Direto WEB - Proxy

438438

• method (any | connect | delete | get | head | options | post | put | trace) - Método HTTPusado nas requisições (veja a seção Métodos HTTP no final deste documento).

• action (allow | deny; default: allow) – especifica a ação a ser tomada quando um

“matching” ocorrer.

Nota

Diferentemente da Lista de Acesso, a Lista de Acesso Direto tem a ação padrão “deny”.Esta ação ocorre quando não são especificadas regras nas requisições.



Regra de firewall para redirecionar ao web-proxy local.

1 – Utiliza-se a opção firewall nat e insere umanova regra para protocolo TCP e porta de

destino 80;

WEB - Proxy

439439

2 – Na guia Advanced, insira uma lista deendereços IP, os quais não serão redirecionados

ao web-proxy;

3 – Na guia Action, será a configurada a ação deredirect para a porta 8080, onde o web-proxy

está escutando.



Regra de firewall para redirecionar para um web-proxy externo.

1 – Utiliza-se a opção firewall nat e insere umanova regra para protocolo TCP e porta de

destino 80;

WEB - Proxy

440440

2 – Na guia Advanced, insira uma lista deendereços IP, os quais não serão redirecionados

ao web-proxy;

3 – Na guia Action, será a configurada a ação dedst-nat para o IP e a porta onde o web-proxy

externo está escutando.



Lista de endereços IP, os quais não farão parte das regras de redirect ou dst-nat.

Submenu: /ip firewall adress-list

WEB - Proxy

441



Filtro de firewall para proteger o acesso ao web-proxy

Submenu: /ip firewall filter

/ip firewall filter

add action=drop chain=input comment="" disabled=no dst-port=8080 in-interface=WAN=

WEB - Proxy

442



Métodos HTTPDescrição

OPTIONSEste método é uma requisição de informações sobre as opções da comunicação

disponível entre o cliente e o servidor (web-proxy) identificadas por Request – URI (UniformResource Identifier, é um termo genérico para todos os tipos de nomes e endereços aosquais referem-se os objetos da WEB. A URL é um tipo de URI). Este método permite que ocliente determine as opções e (ou) as requisições associadas a um recurso sem iniciar

WEB - Proxy

443443

.

GETEste método recupera qualquer informação identificada pelo Request-URI. Se o

Request-URI refere-se a um processo de tratamento de dados a resposta ao método GETdeverá conter os dados produzidos pelo processo, e não o código fonte do processo ou

procedimento(s), a menos que o código fonte seja o resultado do processo.O método GET pode tornar-se um GET condicional se o pedido inclui umamensagem If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match ou If-Range nocabeçalho do pacote. O método GET condicional é utilizado para reduzir o tráfego de redecom a especificação de que a transferência da conexão deverá ocorrer apenas nascircunstâncias descritas pela(s) condição(ões) do cabeçalho do pacote.



O método GET pode tornar-se um GET parcial se o pedido inclui uma mensagemRange no cabeçalho do pacote. O método GET parcial é destinado a reduzir o uso

desnecessário de rede, solicitando apenas partes dos objetos sem transferência dos dados járealizada pelo cliente. A resposta a uma solicitação GET pode ser “cacheada” somente se elapreencher os requisitos para cache HTTP.

Métodos HTTPDescrição

WEB - Proxy

444444

Este método compartilha todas as características do método GET exceto pelo fatode que o servidor não deve retornar uma message-body na resposta. Este método recuperaa meta informação do objeto intrínseco à requisição, que conduz a uma ampla utilização damesma para testar links de hipertexto, acessibilidade e modificações recentes.

As respostas a uma requisição HEAD podem ser “cacheadas” da mesma forma

que as informações contidas nas respostas podem ser utilizadas para atualizar o cachepreviamente identificados pelo objeto.



TRACEEste método invoca remotamente um loop-back na camada de aplicação da mensagem de

requisição. O destinatário final da requisição deverá responder a mensagem recebida parao cliente uma resposta 200 (OK) no corpo da mesma. O destinatário final não é a origemnem o primeiro servidor proxy a receber um MAX-FORWARD de valor 0 na requisição.Uma re uisi ão TRACE não inclui um ob eto. As res ostas a este método não devem ser

WEB - ProxyMétodos HTTPDescrição

446446

“cacheadas”.



Segurança de acesso emredes sem fio

447



Segurança “Rudimentar”(O que não é segurança)

1 – Nome de rede (SSID) escondido

Pontos de Acceso sem fio por padrão fazem obroadcast do seu SSID nos pacotes chamados“beacons”. Este comportamiento puede ser

448

Hide SSID.Fragilidades:

SSID tem de ser conhecido pelos clientes

Scanners Passivos descobrem facilmentepelos pacores de “probe request”dos clientes.




2 – Controle de MAC’s

Descobrir MAC’s que trafegam no ar é muito simples com ferramentasapropriadas

Airopeek para Windows

449

, ,

“Spoofar” um MAC é muito fácil, tanto em Linux como em Windows.

- FreeBSD :

ifconfig <interface> -L <MAC>

- Linux :

ifconfig <interface> hw ether <MAC>




3 – Criptografia WEP

“Wired Equivalent Privacy” – foi o sistema de criptografia inicialmenteespecificado no padrão 802.11 e está baseada no compartilhamento de umsegredo (semente) entre o ponto de Acesso e os clientes, usando o algorítimoRC4 para a criptografia.

450

Várias fragilidades da WEP foram reveladas ao longo do tempo epublicadas na Internet, existindo muitas ferramentas para quebrar a chave,como:

Airodump Airreplay Aircrack

Hoje é trivial a quebra da WEP que pode ser feita em poucos minutos comtécnicas baseadas nas ferramentas acima.



Comprometendo a WEP (em definitivo )

5 – Suporte muito vasto para crackear a WEP

451

You Tube Vídeo ( em espanhol )

http://www.youtube.com/watch?v=PmVtJ1r1pmc



IEEE 802.11i Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de

trabalho – 802.11i cuja tarefa principal era fazer a especificação de um padrão

de fato seguro. Antes da conclusão do trabalho do grupo 802.11i a indústria lançou padrões

intermediários, como o WEP+, TKIP e o WPA (Wireless Protected Access)

452

Em junho de 2004 o padrão foi aprovado e a indústria deu o nome comercial deWPA2.

WEPWEP +

TKIPWPA2

802.11iWEP

WPA

IEEEIndústria

(Wi-Fi Alliance)



Fundamentos de Segurança

Privacidade

A informação não pode ser legível por terceiros

Integridade

453

n ormaç o n o po e ser a era a quan o em rans o.

Autenticação

AP Cliente: O AP tem que garantir que o cliente é quem diz ser.

ClienteAP: O Cliente tem que se certificar que está se conectando noAP verdadeiro. Um AP falso possibilita o chamado ataque do“homem do meio”



Tanto a privacidade como a integridade são garantidas por técnicas de

criptografia.

O algorítimo de criptografia de dados em WPA é o RC4, porémimplementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES.

Privacidade e Integridade

454

Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing“Michael” e WPA2 usa CCMP (Cipher Block Chaining Message AuthenticationCheck– CBC-MAC)

802.11

Header

802.11

Header

Data MIC

Encrypted



Autenticação e distribuição de chaves

WPAx-EAP

Autenticação

455

Mikrotik p/

Mikrotik

WPAx-PSK

(modo pessoal)

Mikrotik c/

Radius

Sem certificados Certificados 2 lados



Fundamentos de Segurança WPAx

Autenticação

WPAx-EAP

Autenticação

456

Mikrotik p/

Mikrotik

WPAx-PSK

(modo pessoal)

Mikrotik c/

Radius




Como funciona a WPAx-PSK

Uma chave “mestra“ chamada PMK –

“Pairwise Master Key” é criada por um

hash entre a “semente” e o SSID.A PMK é guardada no Registro do

Windows on no arquivo supplicant.conf

Passhrase (PSK)

256-bit pairwise master key (PMK)

PMK = f ( passphrase, SSID )

Passhrase (PSK)

256-bit pairwise master key (PMK)

PMK = f ( passphrase, SSID )

Client AP

457

do Linux

Outra chave chamada PTK - “Pairwise

Transient Key” é criada de maneira

dinâmica após um processo de

handshake de 4 vias. PTK é única por

sessão

Derive PTK

Check MIC

Install Key

Begin encrypting

Derive PTK,

Check MIC

Install Key

Begin encrypting

S-nounce

OK, install MIC



Utilizando WPA/WPA2 – PSKÉ muito simples a configuração de

WPA/WPA2-PSK com o Mikrotik

WPA - PSK

Configure o modo de chave dinâmico,WPA

458

PSK, e a chave pré combinada.

WPA2 – PSK

Configure o modo de chave dinâmico

WPA2, PSK, e a chave pré combinada.

As chaves são alfanuméricas de 8 até

63 caracteres



WPA / WPA2 PSK é segura ?

A maneira conhecida hoje para quebrar WPA-PSK é somente por ataque dedicionário.

Como a chave mestra - PMK combina uma contrasenha com o SSID, escolhendopalavras fortes torna o sucesso por ataque de força bruta praticamenteimpossível. http://arstechnica.com/articles/paedia/wpa-

459

Projeto na Internet para estudo de fragilidades da WPA/WPA2 – PSK

Cowpatty http://sourceforge.net/projects/cowpatty

A maior fragilidade no entanto da técnica de PSK para WISP’s é que a chave se

encontra em texto plano nos computadores dos clientes.

cracked.ars/1



WPA com TKIP foi quebrada ?

Recentemente foi publicada uma “quebra de WPA” quando usando TKIP

http://arstechnica.com/articles/paedia/wpa-cracked.ars/1

Na verdade a vulnerabilidade não quebra a WPA com TKIP e sim permite alguns ataquesacessórios explorando essa vunerabilidade como envenenamento de arp e de cache deDNS. Esses ataques são ineficazes quando se tem WPA forte e reciclagem rápida de

460

c aves.

A conclusão do artigo está abaixo (em inglês):

So WPA isn't broken, it turns out, and TKIP remains mostly intact. But this exploitbased on integrity and checksums should argue for a fast migration to AES-only WiFinetworks for businesses who want to keep themselves secure against further research in this area—research already planned by Tews and Beck. And now thatthese two have opened the door, WPA will certainly become subject to even closer scrutiny by thousands of others interested in this space: black-, gray-, and white-hatted.



WPA / WPA2 PSK é segura ?

Quando o atacante tem a chave é possível:

Ganhar acesso não autorizado

Falsificar um Ponto de acesso e fazer o ataque do “homem-do-meio” (man-in-the-middle)

461

Recomendações para WISP’s Somente use PSK se tem absoluta certeza que as chaves estão protegidas

(somente tem acesso aos equipamentos dos clientes o próprio WISP)

Não se esqueça que as chaves PSK estão em texto plano nos Mikrotiks (atépara usuários read-only)

Felizmente o Mikrotik apresenta uma alternativa para distribuição de chavesWPA2 por Radius – (visto mais a frente)





Autenticação

WPAx-EAP

Autenticação

462

Mikrotik p/

Mikrotik

WPAx-PSK

(modo pessoal)

Mikrotik c/

Radius




Diffie Hellmann



Diffie-Hellmann

(Without Certificates)

5. Lado B faz um cálculo similar coma sua chave secreta e o número

primo e o gerador para obter suachave pública.

K(a) = gx(mod p)

Secretnumber

xGenerator

g

Primenumber

p

Side A Side B

464

. a o man a para a o a ca ve

pública.

7. Agora os dados podem calcularuma mesma chave pré

compartilhada (que não circuloupelo meio inseguro)

Shared key = K(b)x (mod p)

Shared key = K(a)y (mod p)

K(b) = gy(mod p)

Secret

numbery

Generatorg

Prime

numberp

K(a), g, p

K(b)

Diffie-Hellmann



Diffie-Hellmann

(Without Certificates)

8. Os dois cálculos produzem valoresexatamente iguais, graças a

propriedade da aritmética modular

9. A chave calculada é utilizada comoK(a) = gx(mod p)

Secretnumber

xGenerator

g

Primenumber

p

Side A Side B

465

e n c a o processo e

criptografia normalmente (AESpara WPA2 e RC4 para WPA)

K(b) = gy(mod p)

Secret

numbery

Generatorg

Prime

numberp

K(a), g, p

K(b)

Key = K(b)x(mod p) Key = K(a)y(mod p)

Same value



Setup with EAP-TLS – No Certificates

Security Profile

AP Configuration

466



Setup with EAP-TLS – No Certificates

Security Profile

Station Configuration

467



EAP-TLS sem Certificados é seguro ?

Como resultado da negociação anonima resulta uma PMK que é de conhecimentoexclusivo das duas partes e depois disso toda a comunicação é criptografada porAES (WPA2) o RC4 (WPA)

468

Seria um método muito seguro se não houvesse a possibilidade de um atacantecolocar um Mikrotik com a mesma configuração e negociar a chave normalmentecomo se fosse um equipamento da rede

Uma idéia para utilizar essa configuração de forma segura é utilizar esse método,e depois de fechado o enlace, criar um túnel criptografado PPtP ou L2TP entre osequipamentos.




g ç

Autenticação

WPAx-EAP

Autenticação

469

Mikrotik p/

Mikrotik

WPAx-PSK

(modo pessoal)

Mikrotik c/

Radius




Trabalhando com Certificados

Un certificado digital é um arquivo que identifica de forma

inequívoca o seu proprietário.

Certificados são criados por instituições emissoras chamadas

470

Os Certificados podem ser :

Assinados por uma instituição “acreditada” (Verisign,Thawte, etc)

ou

Certificados auto-assinados



Passos para implementação de EAP-TLS com Certificadosauto assinados

Passo A Criar a entidade Certificadora (CA)Passo B Criar as requisições de Certificados

471

Passo D Importar os Certificados assinados para os MikrotiksPasso E Se necessário, criar os Certificados para máquinas Windows

Tutoriais detalhados de como fazer isso:http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf

http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf



472

Método EAP-TLS sem Radius (em AP’s e Clientes)



Security Profiles – Métodos de EAP

EAP-TLSUsa Certificados

473



Security Profiles – TLS Mode verify certificates

Requer um certificado e verifica se foi

firmado por uma ~CA

’

474

Requer um Certificado, porém não verifica

no certificates

Certificados são negociados dinâmicamentecom o el algorítmo de Diffie-Hellman

(explicado anteriormente



Autenticação e distribuição de chaves

WPAx-EAP

Autenticação

475

Mikrotik p/

Mikrotik

WPAx-PSK

(modo pessoal)

Mikrotik c/

Radius




WPAx com Radius

Porta controlada

476

AP/NAS

Authenticator

Client station

Supplicant Radius Server

AuthenticationServer

Porta não controlada

EAP



EAP

AP/NAS

EAP é um protocolo para identificação de hosts ou usuários originalmente

projetado para Protocolo Ponto a Ponto (PPP)

477

Authenticator

Supplicant Authentication

Server

EAP na LAN EAP sobre RADIUS

Suporta diferentes tipos de autenticação. Os mais comuns são:

EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-LEAP, EAP-MD5 etc



Tipos de EAP

EAP Open/ KeyAuthentication Credentials UserName

Mutual

478

TLS

TTLS

PEAP

LEAP

Open

Open

Open

Proprietary

Yes

Yes

Yes

Yes

Supplicant Authenticator

Certificate

Username/Pwd

Username/Pwd

Username/Pwd

Certificate

Certificate

Certificate

In Clear

Yes

Yes

No

Yes

Yes

Yes

Yes

No



Tipos de EAP

LEAP: (Lightweight EAP)

É um protocolo proprietário da Cisco patenteado antes mesmo da 802.11i e WPA/

479

.

Este método não cuida da proteção das credenciais durante a fase deautenticação do usuário com o servidor.

Trabalha com variados tipos de clientes, porém somente com AP’s da Cisco.

Ferramente para crackear LEAP: Asleap - http://asleap.sourceforge.net/

OBS: Mikrotik não suporta LEAP.



Tipos de EAPPEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS)

PEAP y TTLS são dois métodos bastante parecidos –e fazem uso de Certificados

Digitais do lado do Servidor e usuário e senha no lado cliente.

O processo segue a seguinte ordem:

480

1 – O Servidor manda uma requisição EAP

2 – É Criado um túnel criptografado através do envio do Certificado

3 – O usuário e senha é passado de forma criptografada

O problema com TTLS e PEAP é que é possível o ataque do “homem-do-meio”

OBS: A diferença entre TTLS e PEAP é que PEAP é compatível com outros protocolos

como LEAP



Tipos de EAPEAP-TLS (EAP – Transport Layer Security)

O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse métodopara um Servidor Radius

481

Provê o maior nível de segurança e necessita de Certificados nos lados do Cliente e

do Servidor Radius

Os passos de como configurar e instalar certificados em um Servidor RADIUS

podem ser obtidos em:http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf

http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf



Setup with EAP-TLS + RadiusClient Configuration

Security Profile

Station Configuration

482

Certificate



Setup with EAP-TLS + RadiusAP Configuration

Security Profile

AP Configuration

483

EAP TLS R di é ?



O método EAP-TLS + Radius é seguro ?

AP/NASAuthenticator

Client station

Supplicant

Radius Server

AuthenticationServer

No se discute que o EAP-TLS é o método mais seguro que se pode obter, porém há

Um ponto que se pode levantar como uma possível fragilidade:

484

Atacando la entregada PMK

Existem ataques conhecidos contra o protocolo Radius.

Se um atacante tem acesso físico ao link entre o AP e o Radius

ele pode fazer ataque de força bruta para descobrir a PMK.

Para evitar isso há várias formas como proteger esse trechocom um tunel L2TP ou PPtP

Resumo dos métodos possíveis de

i l t ã bl



implantação e seus problemas

WPA-PSK:

Chaves presentes nos clientes e acessíveis aos operadores

Método Sem Certificados:

485

Passível de invasão por equipamento que tambem opere desse modo

Problemas com processamento

Mikrotik com Mikrotik com EAP-TLS

Método seguro porém inviável economicamente e de implantaçãopraticamente impossível em redes existentes.

R d ét d í i d



Resumo dos métodos possíveis deimplantação e seus problemas

Mikrotik com Radius: EAP-TTLS e EAP-PEAP:

486

u e o ao omem o me o e pouco spon ve nos a ua sequipamentos.

EAP-TLS

Método seguro, porém também não disponível na maioria dos

equipamentos. Em “plaquinhas” é possível implementa-los.

Método alternativo Mikrotik



Método alternativo Mikrotik O Mikrotik na versão V3 oferece a possibilidade de distribuir uma chave WPA2 por

cliente . Essa chave é configurada no Access List do AP e é vinculada ao MACaddress do cliente, possibilitando que cada cliente tenha sua chave.

487

Cadastrar porém nos access lists, voltamos ao problema da chave ser visível ausuários do Mikrotik !





Felizmente porém o Mikrotik permite que a chave seja atribuída por Radius o quetorna muito interessante esse método.

Para configurar precisamos:

488

Criar um perfil WPA2 qualquer

Habilitar a autenticação via MAC no AP Ter a mesma chave configurada tanto no cliente como no Radius.

Configurando o Perfil



Configurando o Perfil

489



Arquivo users: (/etc/freeradius)

# Sintaxe:# MAC Cleartext-Password := “MAC“

# Mikrotik-Wireless-Psk = “Chave_PSK_de_8_a_63_caracteres“

" “

491

-

Mikrotik-Wireless-Psk = "12345678912“001B779ADD5D Cleartext-Password := "001B779ADD5D"

Mikrotik-Wireless-Psk = "12345678911“

001B77AF82C9 Cleartext-Password := "001B77AF82C9"

Mikrotik-Wireless-Psk = "12345678911"

Radius (dictionary)



Radius (dictionary)/usr/share/freeradius/dictionary.mikrotik

492



Laboratório de PSK por cliente

O aluno que quiser participar, crie um arquivo texto no formato abaixo ecoloque no FTP com a identificação XY-PSK, onde XY é seu número.

493

# Sintaxe:

# MAC Cleartext-Password := “MAC“# Mikrotik-Wireless-Psk = “Chave_PSK_de_8_a_63_caracteres“

#Exemplo:

001DE05A1749 Cleartext-Password := "001DE05A1749“Mikrotik-Wireless-Psk = "12345678912“

Recorte de tela efetuado: 10/17/2008, 10:48 AM



494

ons eraç es acerca e o e o spo

quando utilizados por provedores para “segurança”

Tuneis PPPoE



Tuneis PPPoEaspectos gerais

PPPoE : originalmente desenvolvido para redes cabeadas

O PPPoE Server PPPoEd escuta as re uisi ões de clientes PPPoE ue or

495

sua vêz utilizam o protocolo PPPoE discovery – tudo é feito na camada 2

PPPoE por padrão não é criptografado – pode ser configurado com criptografiaMPPE se o cliente suporta esse método.

O método CHAP protege apenas o nome de usuário e senha e nada além disso.

Túneis PPPoEaspectos gerais



aspectos gerais

A interface que “escuta” as requisições PPPoE não deve ter configurado Ip queseja “roteado” ou para o qual esteja sendo feito NAT. Se isso ocorre é possívelburlar a autenticação PPPoE.

496

Como outros túneis os valores de MTU e MRU devem ser modificados.

PPPoE é sensivel a variações de sinal.

Em máquinas Windows é necessário a instalação de um discador, o querepresenta trabalho administrativo.

PPPoE e Segurança



PPPoE e Segurança

Un atacante que falsifique um endereço MAC em uma planta onde se rode

PPPoE não consegue navegar, porem causa muitos problemas aos usuáriosverdadeiros..

497

requisições de conexão (PPPoE discovery) causando negação de serviço.

O mais grave no entanto é que no PPPoE o usuário não autentica oServidor . Por esse motivo um ataque do tipo do “homem-do-meio” pode serfacilmente implementado. Basta que o atacante ponha um AP falso em uma

posição privilegiada e configure um PPPoE Server para capturar as requisiçõesdos clientes. Isso pode ser usado para negar serviço ou para capturar senhas.

Hotspotst i



Hotspotsaspectos gerais

Originalmente foram desenvolvidos para dar serviço de conexão à Internet emHotéis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma paraautenticar usuários de WISP’s.

498

A interface configurada para “ouvir” o hotspot captura a tentativa de navegação epede usuário e senha.

Existem vários métodos de autenticação, inclusive com Certificados digitais épossível fazea a autenticação por HTTPS.

Hotspots e Segurança



Hotspots e Segurança

Uma vez que um usuário tenha sido autenticado e seu par IP + MAC sejadescoberto e falsificado por um atacante, este ganha acesso sem usuário e senha.O ponto de acesso não “vê” os dois, porém somente um usuário. O serviço fica

499

prec r o mas a navegaç o e am os.

Trabalhando com Certificados Digitais e HTTPS, dár-se-ia ao usuário apossibilidade deste “autenticar” o ponto de acesso, evitando assim o ataque do“home-do-meio”. No entanto dificilmente o usuário estará devidamente orientadopara tanto e a maioria deles aceitará um Certificado falso.

PPPoE & Hotspot & segurança - conclusões



PPPoE tem muitas vantagens porque elimina uma série de problemascomuns de redes wireless como broadcasts, trafegos causados por vírus, etc.

Hotspots apresentam muitas facilidades interessantes como mandarmensagens, criar rotas, etc.

500

m os s o exce en es erramen as para aux ar na a m n s raç o e con ro ede rede, pricipalmete quando implementados em conjunto com Radius.

PPPoE e Hotspot ajudam muito, porém não podem ser encarados comoplataformas de segurança como tem sido até então !

Segurança em Wireless se faz somente com criptografia bemimplementada e em redes cabeadas com dispositivos com isolação deportas.

Porque os WISP’s não utilizam Criptografia em Wireless ?



q p g

WISP’s dizem que não utilizam Criptografia pelos seguintes motivos:

Muita Complexidade Não é fato. Com Mikrotik as implementações são muito fáceis

501

. É verdade, mas no Mikrotik é possível ter diversos perfis, com vários tipos de

criptografia.

Antigos problemas da WEP fazem WPA não confiável As técnicas empregadas são muito diferentes e não há comparação.

Problemas de performance com a criptografia Novos Chipsets Atheros fazem criptografia em hardware – não há problemas

de performance

Segurança – conclusões (quase) finais

Segurança em meio wireless que cumpra os requisitos de:



g ç

- Autenticação mútua- Confidencialidade

- Integridade de dados

Somente se conse ue com a utiliza ão de uma estrutura baseada em

502

802.11i (WPA2) com EAP-TLS implementada con Certificados Digitais +Radius.

Um excelente “approach” é a utilização de chaves Privadas WPA2-PSKquando distribuidas pelo Radius.

Outras implementações como a formação de VPN’s entre os clientes e umconcentrador antes que seja dado o acesso à rede é tambem uma soluçãopossível que não foi abordada aqui pois em escala sua implementação pode semostrar inviável.

Lembre-se tambémque a senha dos rádios clientes também é importante



q p

503

Case MD Brasil

Pontos de acesso:



Pontos de acesso:

Mikrotik RB133 somente como AP Bridge c/ 3 cartões R52, média 25 clientes p/ cartão

100% clientes com WPA2 atribuída por Radius

504

Case MD Brasil

Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente



Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente

Em seguida é pedida autenticação Hotspot para cada cliente.

A opção por Hotspot nada tem a ver com a segurança. É somente uma opção de negócio

505OBS destaque para o uptime !

Case MD Brasil

Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais



p y p

concentração de clientes.

Web-Proxy’s dos pontos de acesso armazenam objetos pequenos

Web-Proxy central (não Mikrotik) armazena objetos grandes.

506

Laboratório Final



Abram um terminal

507

system reset-configuration

Obrigado !



Obrigado !

Edson Xavier Veloso Jr. Sérgio Souza Wardner Maiaedson mikrotikbrasil.com.br ser io mikrotikbrasil.com.br maia mikrotikbrasil.com.br

508



ANEXO

509

Scripting Host e FerramentasComplementares do

Mikrotik



Scripting Host

O Mikrotik possui uma poderosa linguagem interna de Scriptscom a qual diversas ações e tarefas de manutenção podem

510

ser execu a as a par r a ocorrenc a e even os versos.

Os scripts podem ser executados tanto pelo agendador detarefas como por outras ferramentas como o monitoramentode tráfego e o netwatch.

Os comandos de configuração são comandos padrão doRouterOS e as expressões são precedidas de “:” aacessíveis de todos os sub-menus.

Scripting Host - Variáveis



O Mikrotik RouterOS suporta dois tipos de variáveis – globais (disponíveis para todo osistema) e locais (acessível somente ao contexto do script). Uma variável pode serreferenciada pelo símbolo de ‘$’, seguido pelo nome da variável, com excessão doscomandos set e unset que tomam o nome da variável sem o ‘$’.

Os nomes das variáveis odem ser com ostos de letras números e do símbolo ‘-’. Toda

511

variável deve ser obrigatoriamente declarada antes de ser utilzada nos scripts.

Existem 4 tipos de declarações que podem ser feitas:

global – variáveis globais podem ser acessadas por todos os scritpts e logins de consoleno mesmo roteador. Entretanto elas não são mantidas depois de reboots

local – variáveis declaradas como locais não são compartilhadas com outros scripts e seuvalor é perdido sempre que o script é finalizado.

Scripting Host - Variáveis



As variáveis também podem ser declaradas como:

variáveis indexadoras de loop – definidas dentro de uma declaração for e foreach,essas variáveis são utilizadas apenas para um bloco do de comandos e são removidasquando o comando é completado.

512

variáveis de monitor – alguns comandos monitor que tem uma parte do também podem

introduzir variáveis.

Para obter uma lista de variáveis disponíveis use o comando :environment print

É possível atribuir um novo valor a uma variável dentro do script usando o comando :setseguido do nome da variável sem o $ e o novo valor. Também pode-se eliminar umavariável com :unset. Nesse caso, se a variável é local, é perdida e se é global ficamantida, porém inacessível pelo script corrente.

Scripting Host - Variáveis[admin@Hotspot] > :global variavel-global "abcd"



[admin@Hotspot] :global variavel global abcd

[admin@Hotspot] > :local variavel-local "1234"

[admin@Hotspot] > :put $variavel-globalabcd

513

[admin@Hotspot] > :put $variavel-local1234

[admin@Hotspot] > :environment printGlobal Variables

variavel-global=abcdLocal Variablesvariavel-local=1234

Scripting HostInserindo os Scripts



Inserindo os Scripts

514

s scr p s cam armazena os em sys em scr p . s propr e a es s o as segu n es: Name: nome que vai ser chamado o script Policy: são as políticas de segurança aplicáveis Run Count; quantas vezes o script rodou. Valor volátil quando o roteador éreiniciado. Owner: usuário criador do script

Last Time Started: Data e hora da última execução do scritp A Facilidade JOB é utilizada para manipular tarefas ativas o que estejampreviamente agendadas em /system scheduler

Scripting HostExemplos



Exemplos

Façamos um script simples para monitorar o estadode uma interface de rede ether1 a cada 10 segundose fazer com que seja mandado para o log qualquer

515

.

Script para monitorar::global estado-da-interface;/interface ethernet monitor ether1 once do={:setestado-da-interface $status};:if ($status=“no link”) do={log message=“O linkcaiu!!!!”};

Scripting Host

ExemplosEm seguida colocamos no Agendador de Tarefas para que dispare o scriptMonitora Lan a cada 10 segundos Equivalente na linha de comando:



Monitora_Lan a cada 10 segundos. Equivalente na linha de comando:

/ system scriptadd name="Monitora_Lan" source="{:global estado-da-interface;/interface ethernetmonitor ether1 once do={:set estado-da-interface $status};:if$\$status=no-link$ do={logmessa e=\"O link caiu!!!!\" "

516

/ system scheduleradd name="Monitora_Lan" on-event=Monitora_Lan start-date=jan/01/1970 start-time=00:00:00 interval=10s comment="" disabled=no



Para popular a tabela ARP

/ system script

add name=“popula_ARP” code=“{:foreach i in [/ip arp find dynamic=yes interface=wlan1]

517

do={ /ip arp add copy-from=$i }”

/ system scheduler

add name=“popula_ARP" on-event=Monitora_Lan start-date=jan/01/1970 start-time=00:00:00 interval=1d comment="" disabled=no

Scripting Host – Comandos e valores de retornoAlg ns comandos são teis q ando os res ltados de s as saidas podem ser tili ados



Alguns comandos são uteis quando os resultados de suas saidas podem ser utilizadoscomo argumentos em outros comandos. Os valores de retorno de comandos no entantonão aparecem na tela do terminal e para serem obtidos devem ser colocados entre

colchetes’[]. Após a execução o valor de retorno do comando será o valor do conteúdodesses colchetes. Esse procedimento é chamado de substituição de comando.

518

Entre os comandos que produzem valores de retorno estão:

find: retorna uma referencia a um ítem em particular ping retorna o número de pings com sucesso, time retorna o tempo, inc e decr retornam o novo valor de uma variável

add que retorna o número interno de um ítem novo criado.

Scripting Host – Comandos e valores de retornoExemplo de utilização de find:



Exemplo de utilização de find:

[admin@Hotspot] >[admin@Hotspot] > /interface[admin@Hotspot] interface> find type=ether

519

[admin@Hotspot] interface>[admin@Hotspot] interface> :put [find type=ether]

*1[admin@Hotspot] interface>

Exemplo de um comando servindo de argumento para outro:

[admin@Hotspot] interface> enable [find type=ether][admin@Hotspot] interface>



SCRIPTS - ANEXOS

520

Comandos e Operadores

Scripting Host – OperadoresNa console do RouterOS podem ser feitos cálculos simples com números, endereços IP’s,Strings e listas Para obter o resultado de uma expressão coloque os argumentos entre



Strings e listas. Para obter o resultado de uma expressão coloque os argumentos entreparenteses

- menos unário – inverte o sinal de um dado valor.- menos binário – subtrai dois números, dois IP’s ou um IP e um número

521

./ divisão. Operador Binário – divide um número por outro (dá um número como

resultado) ou divide um tempo por um número (dá um tempo como resultado)..concatenação. Operador Binário – concatena 2 strings ou anexa uma lista a outra, ouainda anexa um elemento à uma lista.^ operador XOR (OU exclusivo). Os argumentos e os resultados são endereços IP~ inversão de bit. Operador unário que inverte bits em um endereço IP

* multiplicação. Operador Binário, que pode multiplicar dois números ou um valor detempo por um número

Scripting Host – Operadores& bitwise AND (E). Os argumentos e resultados são endereços IP



( ) g ç&& AND (operador booleano E). Operador Binário – os argumentos e resultados são valoreslógicos.

+ mais binário. Adiciona dois números, dois valores de tempo um número e um endereço IP.< menor. Operador Binário que compara dois números, dois valores de tempo ou dois IP’s.Retorna um valor booleano.

522

.tamanho de bits. O primeiro argumento é o IP e o segundo um inteiro. O resultado é outro IP

<=

menor ou igual. Operador Binário que compara 2 números ou 2 valores de tempo ou doisIP’s. O resultado é um valor booleano.> maior. Operador Binário que compara 2 números, ou 2 valores de tempo ou dois IP’s,retornando um valor booleano>= maior ou igual. Operador Binário que compara 2 números, ou 2 valores de tempo ou doisIP’s, retornando um valor booleano

>> - deslocamento à direita. Operador Binádio que desloca um endereço IP com um dado tamanhode bits. O primeiro argumento é o IP e o segundo um inteiro. O resultado é outro IP| - bitwise OR. Os argumentos e resultados são ambos endereços IP|| - OR (operador booleano OU). Operador Binário. Os argumentos e resultados são valores lógicos.

Scripting Host – OperadoresExemplos:



Ordem de operadores e de avaliação:[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=2+(-3)=-1)

false[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=(2+(-3)=-1))

523

[admin@MikroTik] ip firewall rule forward

NÃO lógico[admin@MikroTik] interface> :put (!true)false[admin@MikroTik] interface> :put (!(2>3))true[admin@MikroTik] interface>



Scripting Host – ComandosO RouterOS apresenta vários comandos internos de console e expressões (ICE) que não



p p ( ) qdependem de qual diretório se esteja no menú.

Esses comandos não mudam as configurações diretamente, mas são úteis paraautomatizar vários processos de manutenção.

525

A lista completa das ICE pode ser acessada digitando : e em seguida dois tab’s

[admin@Hotspot] interface> :

beep execute global local put toarray tonum while

delay find if log resolve tobool tostr

do for len nothing set toid totime

environment foreach list pick time toip typeof

Scripting Host – Comandos



list – lista todos comandos

resolve – faz uma busca por um nome de domínioexecute – roda um script em separadolocal – atribui um valor para uma variável local

526

global – declara e atribui um valor para uma vari vel globalset – Muda as propriedades do ítem

put – apresenta os argumentos na telawhile – executa um comando enquanto uma condição é verdadeiraif – executta um comando se uma condição é verdadeirado – executa um comando

time – retorna o tempo que um comando levou para ser executadofor – executa um comando para um range de valores inteirosforeach – executa um comando para cada um dos argumentos de uma listadelay – pausa a execução por um determinado tempo

Scripting Host – Comandostypeof – retorna o tipo do valor



yp plen – retorna o número de elementos no valor

tostr – converte um argumento para uma stringtobool – converte um argumento para verdadeirotonum – converte um argumento para um valor inteiro

527

totime – converte um argumento para um valor de intervalo de tempotoip -- converte um argumento para um endereço IP

toarray – converte um argumento para um valor de arraynothing – não faz nada e não retorna nada – comando extremamente útil ☺

pick – retorna um range de caracteres de strings ou valores de arraysfind – Localiza items pelo valor

log – manda mensagem para os logsbeep – produz um sinal audível se for suportado hardware.environment/ -- lista de todas as variáveis

Scripting Host – ComandosEspeciais



p

Monitor É possível acessar valores que são mostrados pela maioria das açõesmonitor, através dos Scripts. Um comando monitor que tem um

528

parametro do pode ser fornecido tanto pelo nome do script ( /systemscripts), ou pela execução de comandos de console.

Get

A maior parte dos comandos print produzem valores que são acessíveis apartir dos scripts. Esses comandos print tem um correspondente comandoget no mesmo nível de menú. O comando get aceita um parametroquando trabalhando com números regulares ou dois parametros quandotrabalhando com listas

Scripting Host

Caracteres Especiais



# é usado como comentário. Linha é ignorada ; usado para colocar múltiplos comandos em uma só linha Caso se precise usar os caracteres especiais {}[]"'\$, como strings normais, eles

529

. , \a campainha, código do caracter 7

\b backspace, código do caracter 8 \f alimentação de página, código do caracter 12 \n nova linha, código do caracter 10 \r enter, código do caracter 13 \t tabulaçào, código do caracter 9 \v tabulação vertical, código do caracter 11 \_ espaço, código do caracter 32

Scripting HostExemplos

Scripts que podem ser baixados em http://wiki.mikrotik.com/wiki/Scripts

Filter a command outputEnable and Disable P2P connectionsSend Backup email



Send Backup emailLimiting a user to a given amount of traffic (using firewall)

Limiting a user to a given amount of traffic II (using queues)Limiting a user to a given amount of traffic with user levels (using queues)

530

-Generate routes for stress testing BGP functionality

Set global and local variablesDynamic DNS Update Script for ChangeIP.comReset Hotspot user countUse SSH to execute commands (DSA key login)Audible signal testECMP Failover ScriptSending text out over a serial portSetting static DNS record for each DHCP leaseImproved Netwatch

Monitoramento da Rede - Netwatch



Monitoramento da Rede Netwatch

A Ferramenta Netwach monitora o estado de hosts

531

a re e, man an o pacotes e p ng s para umalista de endereços IP especificados.

É possível especificar para cada IP, intervalos deping e scripts de console, possibilitando assim quesejam feitas ações em função da mudança de

estado de hosts.


H t E d IP d h t á it d



Host: Endereço IP do host que será monitorado

Interval: Intervalo em que o host será “pingado”. Pordefault 1 segundo.

532

Timeout: Se nenhuma resposta for recebida nesse

tempo, o host será considerado “down”.

Na aba Up, deve ser colocado o nome do script deconsole que será executado quando o estado do hostmudar de “desconhecido” ou down para up.

Na aba Down, deve ser colocado o nome do script deconsole que será executado quando o estado do hostmudar de “desconhecido” ou up para down




O estado dos hosts ode ser visto acima:

533

Status: up, down ou unknown (desconhecido)

Since: Indica quando o estado do host mudou pela última vêz.

É importante conhecer o nome exato das variáveis de mudança de estado, pois elas serãousadas na lógica dos scripts:

up-scritpt: nome do script que é executado quando o estado muda para up

down-script: nome do script que é executado quando o estado muda para down

Exemplo de aplicação de Netwatch



Queremos que um o gateway default de uma rede seja alterado, caso o gateway em uso

tenha problemas

[admin@MikroTik] system script> add name=gw_1 source={/ip route set { [/ip route find dst

534

0.0.0.0] gateway 10.0.0.1}

[admin@MikroTik] system script> add name=gw_2 source={/ip route set {[/ip route find dst0.0.0.0] gateway 10.0.0.217}

[admin@MikroTik] system script> /tool netwatch

[admin@MikroTik] tool netwatch> add host=10.0.0.217 interval=10s timeout=998ms up-script=gw_2 down-script=gw_1

Monitor de Porta Serial - Sigwatch



O utilitário “Sigwatch” permite o monitoramento do estado da porta serial, gerando eventos

no sistema quando há alteração do estado destas. O acesso a essa facilidade somentepode ser feito pelo Terminal, não estando disponível no Winbox.

535

Os parametros a configurar são:

name: nome do ítem a ser monitorado pelo Sigwatch

on-condition: em qual situação deve ser tomada alguma ação para esse ítem (default=on):

on: dispara se o estado do pino muda para ativo off: dispara quando o estado do pino muda para inativo change: dispara sempre que o estado do pino muda.




port: nome da porta serial a monitorar script: nome do script a disparar para esse ítem

536

signal: nome do sinal ou número do pino (para DB9 padrão) a monitorar (default=rts)

dtr: Data Terminal Ready (pino 4) rts: Request to Send (pino 7) cts: Clear to Send (pino8)

dcd: Data Carrier Detect (pino 1) ri: Ring Indicator (pino 9) dsr: Data Set Ready (pino 6)




state: último estado do sinal monitorado

log: (yes|no): se deve ser adicionada uma mensagem na forma name-of-sigwatch-item:-

537

sigwatch for disparado (default=no)

count: contador (só leitura) que indica o número de vezes que sigwatch foi ativado. Zeraquando o roteador é reiniciado

OBS: O Sigwatch pode disparar um script previamente colocado em system/scripts ou seucódigo fonte pode ser digitado diretamente na linha de chamada do script.




Exemplo: Desejamos monitorar se na porta serial1 do Roteador há sinal deCTS.

538

[admin@Hotspot] tool sigwatch> add name="monitor_da_serial"port=serial0 pin=8 on-condition=change log=no

Traffic Monitor

A ferramenta “traffic monitor” é utilizada paraexecutar scripts de console sempre que o tráfego



executar scripts de console, sempre que o tráfegoem uma dada interface ultrapasse um valordeterminado.

539

arame ros e con guraç o: Name: Nome do ítem

Interface: Interface que será monitorada Traffic: se é trafego transmitido ou recebido Threshold: limite em bps que dispara o gatilho Trigger: Se o gatilho é disparado quando o valorultrapassa o Threshold ou cai abaixo ou o somenteatinge (subindo ou descendo) On Event: script a ser executado.

Traffic Monitor

Exemplo: Queremos monitorar o tráfego entrante em um roteador com duas interfaces de



e p o Que e os o o a o á ego e a e e u o eado co duas e aces derede ether1 e ether2. Quando o tráfego exceder 15kbps na ether1 vamos habilitar a

ether2, que será desabilitada quando o tráfego recuar para menos de 12kbps

-

540

Traffic Monitor

Agora vamos definir as ações: quando o tráfego passa de 15kbps ativa a



Agora vamos definir as ações: quando o tráfego passa de 15kbps ativa a

interface, mas só quando cai abaixo de 12 kbps é que desabilita

541

Traffic Monitor

Vamos conferir como ficou na linha de comando:



Vamos conferir como ficou na linha de comando:

/ system script

542

add name="sobe_ether2" source="/interface enable ether2“add name="baixa_ether2" source="/interface disable ether2

/ tool traffic-monitor

add name="acima_de_15" interface=ether1 traffic=received trigger=above

threshold=15000 on-event=sobe_ether2

add name="abaixo_de_12" interface=ether1 traffic=received trigger=abovethreshold=12000 on-event=baixa_ether2

Obrigado !



Edson Xavier Veloso Jr. Sérgio Souza Wardner Maiaedson mikrotikbrasil.com.br ser io mikrotikbrasil.com.br maia mikrotikbrasil.com.br

543

Curso Oficial Do Mikrotik

Documents

Transcript of Curso Oficial Do Mikrotik